情境示意圖,Photo by Taskin Ashiq on unsplash

今年三月初中國駭客組織利用一系列名為Proxylogon的漏洞攻擊Exchange伺服器,引發全球企業及政府單位恐慌。但安全研究人員現在相信,攻擊該批漏洞的行動可能早在2017年就開始了。

三月微軟揭露名為Hafnium的中國駭客組織,開採了Exchange Server 4個漏洞,藉此攻擊政府單位、學術機構及大到小型企業。攻擊者建立web shell後門程式以遠端控制受駭的Exchange Server,最後企圖從受害者網路上竊取資料。上個月美國拜登政府聯同盟國指控,中國是三月間對未修補ProxyLogon漏洞的Exchange Server,發動針對性攻擊行動的背後支持者。但安全廠商Cybereason最新一項報告顯示,中國駭客相當活躍,分別侵擾了其他國家不同產業企業,其中一組駭客4年前已經濫用過ProxyLogon漏洞。

根據Cybereason這份報告,去年到今年第1季有三組駭客攻擊電信公司,而且意在網路間諜行動,像是蒐集敏感資訊,駭入重要系統像是包含通話詳情紀錄(Call Detail Record)的計費系統、以及駭入網域控制器(Domain Controller)、Web伺服器及Exchange Server。

三組駭客中,一組稱為Soft Cell,2012年即開始活動,曾攻擊東南亞多個地區的電信公司。最近一波攻擊是從2018年持續到今年第1季。第二組策畫者是Naikon APT,它從2010年開始活躍,前身也是中國解放軍的作戰小組,主要目標也是東南亞國家,最近活動是從2020年第4季持續到今年第1季。

第三波攻擊則瞄準Exchange及IIS伺服器,並在其中植入一個OWA後門程式。分析其特徵,指向和Group 3390(或稱APT27、Emissary Panda)行動中用的後門程式很類似。

目前還不清楚三波攻擊,是三個不同組織的個別行動,或是一個組織對不同對象發動的攻擊,但顯然是同一指揮中心下的協同行動,而背後皆服膺中國利益。

研究人員進一步指出,Group 3390開採的Exchange漏洞和年初Hafnium開採合稱ProxyLogon的漏洞相同。更值得一提的是,Group 3390的行動最早更追溯到2017年,一直到2021年。研究人員推測,他們先開採了Exchange Server漏洞,再滲透其他重要系統,如網域控制器及計費系統,以蒐集重要人物、政治異議份子或政府官員的紀錄。


熱門新聞

Advertisement