美國大型企業組織遭到中國駭客入侵，鎖定Exchange伺服器發動攻擊，目的是收集情報

中國駭客對美國企業及政府機關發動攻擊的情況不時傳出，最近有研究人員公布8個月前開始出現的資安事故，並指出駭客活動期間為今年4月至8月，持續進行4個月之久，疑似進行情報收集。

資安業者賽門鐵克揭露一起鎖定美國大型企業組織的網路間諜活動，並指出受害企業在中國具有相當重要的影響力。駭客疑似為了進行情報收集，於受害組織的網路環境持續活動。根據這波攻擊行動使用的工具，研究人員推測，攻擊者應該來自中國。根據掌握的證據，加上該企業也曾於去年遭到攻擊，研究人員認為，攻擊者很可能與中國駭客組織Daggerfly有所關連。

研究人員表示，從4月11日起，他們開始看到這些駭客於受害企業網路環境活動的跡象，不排除對方更早就開始進行活動的可能。因為，當時這些駭客透過WMI在其中一臺電腦下達可疑命令，並透過另一臺電腦的執行滲透測試工具Impacket。由此看來，當時駭客至少已成功占領兩臺電腦，因此研究人員推測，攻擊行動很有可能在此之前就已經開始。

接著，攻擊者下達net use命令，掛載網路共用磁碟，然後利用reg.exe挖掘帳密資料。然後，他們執行PowerShell指令碼，查詢AD的服務主體名稱（Service Principal Names，SPN）帳號，以及Kerberos使用的Token，從而發動Kerberoasting攻擊。

從6月2日開始，駭客在網頁伺服器發動另一波攻擊，他們濫用FTP軟體Filezilla外傳竊得的資料，到了6月27日，攻擊者再度下達命令，過程中利用ibnettle-6.dll、textinputhost.dat兩個惡意檔案，用途很有可能是為了側載惡意程式。研究人員提及，textinputhost.dat先前曾出現在中國駭客攻擊行動Operation Crimson Palace。

駭客6月初還侵入另外兩臺電腦，很有可能是為了監控或橫向移動。在這段攻擊過程裡，駭客似乎關注特定Exchange伺服器，研究人員研判，這些駭客可能試圖從郵件伺服器當中，收集含有機敏資料的電子郵件。

另一方面，這些駭客在6月13日利用特定資料夾啟動iTunesHelper.exe，藉此側載名為CoreFoundation.dll的惡意程式。