報告：Exchange Server Proxylogon漏洞可能2017年就被駭

今年三月初中國駭客組織攻擊Exchange Server Proxylogon漏洞攻陷至少3萬台Exchange Server引發恐慌。安全研究人員認為，這批漏洞的攻擊行動可能最早可追溯到2017年。

三月一個名為Hafnium的中國駭客組織濫用Exchange Server 4個漏洞，總稱為ProxyLogon，藉此攻擊政府單位、學術機構及大小型企業者。駭客在受害者網路植入web shell後門程式，作為日後遠端控制Exchange Server，之後試圖從其內部網路上竊取資料。

Cybereason這份報告提及了三波針對電信公司的駭客攻擊，皆在蒐集敏感資訊，駭入關鍵系統，如儲存通話紀錄(Call Detail Record)的計費系統、以及駭入Domain Controller、Web伺服器及Exchange Server，似乎是在進行網路間諜行動。研究人員還不清楚這3波攻擊，是3個不同團體的獨立行動，或是1個團體對不同對象發動的攻擊，但極可能是在同一指揮中心下的聯合行動，可能是圖利中國利益的行為。

3組駭客中，一組是Soft Cell，2012年即開始活動，曾攻擊東南亞多個地區的電信公司。最近一波攻擊是從2018年持續到2021年第1季。第二組是Naikon APT，首出現於2010年，目標也是東南亞國家，活動時間是從2020年第4季到今年第1季。

第三波攻擊的目標是Exchange及IIS，並在其中植入OWA (Outlook Web Access)後門程式。這個後門程式與中國駭客組織Group 3390(又稱APT27、Emissary Panda)「鐵虎」(Iron Tiger)行動中用的後門程式很類似。

Cybereason進一步指出，Group 3390濫用的是和Hafnium濫用的ProxyLogon的是相同漏洞。它的活動最早可追溯到2017年，一直到2021年。研究人員推測，駭客先濫用了Exchange Server漏洞，再將觸角伸向其他重要系統，如Domain Controller及計費系統，目標在竊取知名人物、政治異議份子或政府官員的通訊紀錄。

來源：ThreatPost