報告:Exchange Server Proxylogon漏洞可能2017年就被駭

今年三月初中國駭客組織攻擊Exchange Server Proxylogon漏洞攻陷至少3萬台Exchange Server引發恐慌。安全研究人員認為,這批漏洞的攻擊行動可能最早可追溯到2017年。

今年三月初中國駭客組織攻擊Exchange Server Proxylogon漏洞攻陷至少3萬台Exchange Server引發恐慌。安全研究人員認為,這批漏洞的攻擊行動可能最早可追溯到2017年。

三月一個名為Hafnium的中國駭客組織濫用Exchange Server 4個漏洞,總稱為ProxyLogon,藉此攻擊政府單位、學術機構及大小型企業者。駭客在受害者網路植入web shell後門程式,作為日後遠端控制Exchange Server,之後試圖從其內部網路上竊取資料。

Cybereason這份報告提及了三波針對電信公司的駭客攻擊,皆在蒐集敏感資訊,駭入關鍵系統,如儲存通話紀錄(Call Detail Record)的計費系統、以及駭入Domain Controller、Web伺服器及Exchange Server,似乎是在進行網路間諜行動。研究人員還不清楚這3波攻擊,是3個不同團體的獨立行動,或是1個團體對不同對象發動的攻擊,但極可能是在同一指揮中心下的聯合行動,可能是圖利中國利益的行為。

3組駭客中,一組是Soft Cell,2012年即開始活動,曾攻擊東南亞多個地區的電信公司。最近一波攻擊是從2018年持續到2021年第1季。第二組是Naikon APT,首出現於2010年,目標也是東南亞國家,活動時間是從2020年第4季到今年第1季。

第三波攻擊的目標是Exchange及IIS,並在其中植入OWA (Outlook Web Access)後門程式。這個後門程式與中國駭客組織Group 3390(又稱APT27、Emissary Panda)「鐵虎」(Iron Tiger)行動中用的後門程式很類似。

Cybereason進一步指出,Group 3390濫用的是和Hafnium濫用的ProxyLogon的是相同漏洞。它的活動最早可追溯到2017年,一直到2021年。研究人員推測,駭客先濫用了Exchange Server漏洞,再將觸角伸向其他重要系統,如Domain Controller及計費系統,目標在竊取知名人物、政治異議份子或政府官員的通訊紀錄。

來源:ThreatPost

關於我們

自1990年創刊UXmaster雜誌,1991年獲得美國LAN Magazine獨家授權中文版,2006年獲得CMP Network Computing授權,2009年合併CMP Network Magazine獨家授權中文版,2014年轉型為《網路資訊》雜誌網站,為台灣中小企業協助技術領導者落實企業策略,了解網路規劃及應用,為企業網路應用、管理、MIS、IT人員必備之專業雜誌網站。


與我們聯絡

加入《網路資訊》雜誌社群

© Copyright 2017 本站版權所有,禁止任意轉載 網路資訊雜誌 / 心動傳媒股份有限公司 聯絡電話:+886 2 29432416