Exchange Server Proxylogon漏洞可能早在2017年就被骇

今年三月初中国骇客组织利用一系列名为Proxylogon的漏洞攻击Exchange服务器，引发全球企业及-单位恐慌。但安全研究人员现在相信，攻击该批漏洞的行动可能早在2017年就开始了。

三月微软揭露名为Hafnium的中国骇客组织，开采了Exchange Server 4个漏洞，借此攻击-单位、学术机构及大到小型企业。攻击者建立web shell后门程式以远端控制受骇的Exchange Server，最后企图从受害者网络上窃取资料。上个月美国拜登-联同盟国指控，中国是三月间对未修补ProxyLogon漏洞的Exchange Server，发动针对性攻击行动的背后支持者。但安全厂商Cybereason最新一项报告显示，中国骇客相当活跃，分别侵扰了其他国家不同产业企业，其中一组骇客4年前已经滥用过ProxyLogon漏洞。

根据Cybereason这份报告，去年到今年第1季有三组骇客攻击电信公司，而且意在网络间谍行动，像是搜集敏感资讯，骇入重要系统像是包含通话详情纪录（Call Detail Record）的计费系统、以及骇入网域控制器（Domain Controller）、Web服务器及Exchange Server。

三组骇客中，一组称为Soft Cell，2012年即开始活动，曾攻击东南亚多个地区的电信公司。最近一波攻击是从2018年持续到今年第1季。第二组策画者是Naikon APT，它从2010年开始活跃，前身也是中国解放军的作战小组，主要目标也是东南亚国家，最近活动是从2020年第4季持续到今年第1季。

第三波攻击则瞄准Exchange及IIS服务器，并在其中植入一个OWA后门程式。分析其特征，指向和Group 3390（或称APT27、Emissary Panda）行动中用的后门程式很类似。

目前还不清楚三波攻击，是三个不同组织的个别行动，或是一个组织对不同对象发动的攻击，但显然是同一指挥中心下的协同行动，而背后皆服膺中国利益。

研究人员进一步指出，Group 3390开采的Exchange漏洞和年初Hafnium开采合称ProxyLogon的漏洞相同。更值得一提的是，Group 3390的行动最早更追溯到2017年，一直到2021年。研究人员推测，他们先开采了Exchange Server漏洞，再渗透其他重要系统，如网域控制器及计费系统，以搜集重要人物、政治异议份子或-官员的纪录。