中國駭客鎖定亞洲政府機關與北約國家，利用Exchange與IIS主機弱點進行滲透

趨勢科技近日揭露新的中國駭客組織Shadow-Earth-053，利用可透過網際網路存取的Exchange伺服器，或是IIS網頁伺服器的已知漏洞，企圖植入稱做Godzilla的Webshell，以建立長期存取的管道，然後使用DLL側載手法，載入具有合法簽章的惡意程式ShadowPad。值得留意的是，駭客入侵受害組織最常使用的資安漏洞是ProxyLogon，這代表已公布並修補多年的資安漏洞，由於許多企業組織並未套用微軟提供的更新程式，仍是有效的駭客初始入侵管道。

對於這些駭客的活動，最早可追溯至2024年12月，最近一年至少對包含臺灣在內的8個國家政府機關與關鍵基礎設施發動攻擊，目標大部分集中在亞洲，不過這些駭客攻擊範圍也涵蓋北約會員國的歐洲政府。根據駭客的目標特徵，趨勢科技研判Shadow-Earth-053的目的，不僅從事網路間諜活動，也有可能意圖竊取智慧財產。

值得留意的是，趨勢科技特別提及Shadow-Earth-053與其他中國駭客之間的關聯，因為Shadow-Earth-053與另一組駭客Shadow-Earth-054使用的惡意軟體及戰術、手法和流程（TTP）存在明顯的交集，此外，這兩組人馬也與被稱為CL-STA-0049、Ref7707的中國駭客，以及Earth Alux駭客團體有關。趨勢科技指出，這幾個駭客團體常在相同受害組織的網路環境中活動，不過，Shadow-Earth-054發動的相關攻擊，通常在Shadow-Earth-053部署ShadowPad的數個月前發生。