Exchange Server Proxylogon漏洞可能早在2017年就被駭

今年三月初中國駭客組織利用一系列名為Proxylogon的漏洞攻擊Exchange伺服器，引發全球企業及政府單位恐慌。但安全研究人員現在相信，攻擊該批漏洞的行動可能早在2017年就開始了。

三月微軟揭露名為Hafnium的中國駭客組織，開採了Exchange Server 4個漏洞，藉此攻擊政府單位、學術機構及大到小型企業。攻擊者建立web shell後門程式以遠端控制受駭的Exchange Server，最後企圖從受害者網路上竊取資料。上個月美國拜登政府聯同盟國指控，中國是三月間對未修補ProxyLogon漏洞的Exchange Server，發動針對性攻擊行動的背後支持者。但安全廠商Cybereason最新一項報告顯示，中國駭客相當活躍，分別侵擾了其他國家不同產業企業，其中一組駭客4年前已經濫用過ProxyLogon漏洞。

根據Cybereason這份報告，去年到今年第1季有三組駭客攻擊電信公司，而且意在網路間諜行動，像是蒐集敏感資訊，駭入重要系統像是包含通話詳情紀錄（Call Detail Record）的計費系統、以及駭入網域控制器（Domain Controller）、Web伺服器及Exchange Server。

三組駭客中，一組稱為Soft Cell，2012年即開始活動，曾攻擊東南亞多個地區的電信公司。最近一波攻擊是從2018年持續到今年第1季。第二組策畫者是Naikon APT，它從2010年開始活躍，前身也是中國解放軍的作戰小組，主要目標也是東南亞國家，最近活動是從2020年第4季持續到今年第1季。

第三波攻擊則瞄準Exchange及IIS伺服器，並在其中植入一個OWA後門程式。分析其特徵，指向和Group 3390（或稱APT27、Emissary Panda）行動中用的後門程式很類似。

目前還不清楚三波攻擊，是三個不同組織的個別行動，或是一個組織對不同對象發動的攻擊，但顯然是同一指揮中心下的協同行動，而背後皆服膺中國利益。

研究人員進一步指出，Group 3390開採的Exchange漏洞和年初Hafnium開採合稱ProxyLogon的漏洞相同。更值得一提的是，Group 3390的行動最早更追溯到2017年，一直到2021年。研究人員推測，他們先開採了Exchange Server漏洞，再滲透其他重要系統，如網域控制器及計費系統，以蒐集重要人物、政治異議份子或政府官員的紀錄。