吳明宜今年三月初中國駭客組織攻擊 Exchange Server Proxylogon 漏洞攻陷至少 3 萬台 Exchange Server 引發恐慌。安全研究人員認為,這批漏洞的攻擊行動可能最早可追溯到 2017 年。
三月一個名為 Hafnium 的中國駭客組織濫用 Exchange Server 4 個漏洞,總稱為 ProxyLogon,藉此攻擊政府單位、學術機構及大小型企業者。駭客在受害者網路植入 web shell 後門程式,作為日後遠端控制 Exchange Server,之後試圖從其內部網路上竊取資料。
Cybereason 這份報告提及了三波針對電信公司的駭客攻擊,皆在蒐集敏感資訊,駭入關鍵系統,如儲存通話紀錄 (Call Detail Record) 的計費系統、以及駭入 Domain Controller 、 Web 伺服器及 Exchange Server,似乎是在進行網路間諜行動。研究人員還不清楚這 3 波攻擊,是 3 個不同團體的獨立行動,或是 1 個團體對不同對象發動的攻擊,但極可能是在同一指揮中心下的聯合行動,可能是圖利中國利益的行為。
3 組駭客中,一組是 Soft Cell,2012 年即開始活動,曾攻擊東南亞多個地區的電信公司。最近一波攻擊是從 2018 年持續到 2021 年第 1 季。第二組是 Naikon APT,首出現於 2010 年,目標也是東南亞國家,活動時間是從 2020 年第 4 季到今年第 1 季。
第三波攻擊的目標是 Exchange 及 IIS,並在其中植入 OWA (Outlook Web Access) 後門程式。這個後門程式與中國駭客組織 Group 3390(又稱 APT27 、 Emissary Panda)「鐵虎」(Iron Tiger) 行動中用的後門程式很類似。
Cybereason 進一步指出,Group 3390 濫用的是和 Hafnium 濫用的 ProxyLogon 的是相同漏洞。它的活動最早可追溯到 2017 年,一直到 2021 年。研究人員推測,駭客先濫用了 Exchange Server 漏洞,再將觸角伸向其他重要系統,如 Domain Controller 及計費系統,目標在竊取知名人物、政治異議份子或政府官員的通訊紀錄。
來源:ThreatPost