報告：Exchange Server Proxylogon 漏洞可能 2017 年就被駭

今年三月初中國駭客組織攻擊 Exchange Server Proxylogon 漏洞攻陷至少 3 萬台 Exchange Server 引發恐慌。安全研究人員認為，這批漏洞的攻擊行動可能最早可追溯到 2017 年。

三月一個名為 Hafnium 的中國駭客組織濫用 Exchange Server 4 個漏洞，總稱為 ProxyLogon，藉此攻擊政府單位、學術機構及大小型企業者。駭客在受害者網路植入 web shell 後門程式，作為日後遠端控制 Exchange Server，之後試圖從其內部網路上竊取資料。

Cybereason 這份報告提及了三波針對電信公司的駭客攻擊，皆在蒐集敏感資訊，駭入關鍵系統，如儲存通話紀錄 (Call Detail Record) 的計費系統、以及駭入 Domain Controller、Web 伺服器及 Exchange Server，似乎是在進行網路間諜行動。研究人員還不清楚這 3 波攻擊，是 3 個不同團體的獨立行動，或是 1 個團體對不同對象發動的攻擊，但極可能是在同一指揮中心下的聯合行動，可能是圖利中國利益的行為。

3 組駭客中，一組是 Soft Cell，2012 年即開始活動，曾攻擊東南亞多個地區的電信公司。最近一波攻擊是從 2018 年持續到 2021 年第 1 季。第二組是 Naikon APT，首出現於 2010 年，目標也是東南亞國家，活動時間是從 2020 年第 4 季到今年第 1 季。

第三波攻擊的目標是 Exchange 及 IIS，並在其中植入 OWA (Outlook Web Access) 後門程式。這個後門程式與中國駭客組織 Group 3390(又稱 APT27、Emissary Panda)「鐵虎」(Iron Tiger) 行動中用的後門程式很類似。

Cybereason 進一步指出，Group 3390 濫用的是和 Hafnium 濫用的 ProxyLogon 的是相同漏洞。它的活動最早可追溯到 2017 年，一直到 2021 年。研究人員推測，駭客先濫用了 Exchange Server 漏洞，再將觸角伸向其他重要系統，如 Domain Controller 及計費系統，目標在竊取知名人物、政治異議份子或政府官員的通訊紀錄。

來源：ThreatPost