「这些漏洞已经公开四年,攻击者仍在用它们攻破政府邮箱。」Trend Micro分析师Daniel Lunghi和Lucas Silva在追踪ShadowPad植入程序时,发现了这个令人不安的事实。一个被临时编号为SHADOW-EARTH-053的威胁组织,正利用微软Exchange服务器的陈年漏洞,在亚洲及欧洲至少8个国家展开网络间谍活动。

这不是零日攻击(未公开漏洞)的惊险故事,而是一场关于「已知风险为何长期悬置」的冷静复盘。当安全社区的目光聚焦于最新漏洞时,攻击者却在旧战场上持续收割。

打开网易新闻 查看精彩图片

攻击路径:四年前的漏洞仍是破门砖

SHADOW-EARTH-053的核心武器是ProxyLogon漏洞链——CVE-2021-26855、CVE-2021-26857、CVE-2021-26858、CVE-2021-27065。这组编号指向2021年微软Exchange服务器的重大安全缺陷,曾在当年引发全球数十万服务器的紧急修补浪潮。

四年过去,这些漏洞在特定环境中依然有效。Trend Micro的研究确认,目标组织运行的Exchange服务器处于「遗留或未修补」状态。攻击者无需开发复杂利用代码,只需扫描暴露在互联网上的旧版本服务器,即可重复利用已公开的漏洞载荷。

入侵后的操作链条高度标准化:获取Exchange服务器权限→安装Exchange管理插件(snap-in)→枚举高价值邮箱→通过Exchange Web Services(EWS,网络服务接口)导出邮件内容。研究人员指出,微软此前在Silk Typhoon(代号Hafnium)的行动中观察到完全相同的EWS导出技术。

这种技术复用揭示了一个被低估的现实:高级持续性威胁(APT,高级长期渗透)的攻击手法并非持续迭代,而是在验证有效后长期复刻。防御方的补丁延迟,直接转化为攻击者的成本优势。

目标画像:从亚洲到北约的战略延伸

SHADOW-EARTH-053的活动时间线至少可追溯至2024年12月。Trend Micro确认的受害组织分布呈现清晰的战略地理特征:南亚、东亚、东南亚的政府部门、国防承包商、IT咨询公司、交通运输企业构成主要目标群。

欧洲方向的出现打破了「仅限亚洲」的预设。波兰——一个北约成员国——被明确列入受害名单。这一细节将威胁评估从区域安全议题升级为跨国战略博弈。研究人员基于目标特征和操作模式判断,行动核心意图是网络间谍活动与知识产权窃取。

目标行业的组合同样值得拆解:政府部门提供政策情报,国防承包商涉及军事技术,IT咨询公司可能接触多客户网络架构,交通运输组织则掌握物流与基础设施数据。这种组合指向系统性情报收集,而非单一目标的勒索或破坏。

SHADOW-EARTH-053与关联组织SHADOW-EARTH-054存在显著重叠——工具哈希值完全相同,战术技术程序(TTP,攻击手法组合)高度一致,且后者的活动往往早于ShadowPad植入数月。这种时间差暗示可能存在分工协作:前期渗透与后期控制由不同团队执行,或同一组织的多阶段作业。

武器分析:ShadowPad的「降级」版本说明什么

SHADOW-EARTH-053部署的核心恶意软件是ShadowPad,这一模块化植入程序自2017年由APT41首次使用,2019年起在多个中国关联威胁组织间共享。其技术谱系已得到安全社区的广泛追踪。

但本次发现的变体呈现异常特征:缺少其他组织使用的ShadowPad版本所具备的高级混淆与反调试功能。这种「功能降级」有两种可能的解读方向。

方向一:运营安全优先。复杂的反分析机制可能增加被检测概率,或在特定目标环境中引发兼容性故障。简化版本反而提升部署成功率和稳定性。

方向二:供应链分化。ShadowPad的共享历史意味着多个组织可能持有不同分支版本。SHADOW-EARTH-053或许获得了早期或剥离版代码库,尚未整合后续更新。

无论哪种解释,都指向同一结论:恶意软件的功能复杂度与攻击效果并非线性正相关。在目标防御薄弱的场景下,「够用即可」的务实选择可能优于技术炫示。

防御困境:补丁经济学的残酷等式

ProxyLogon漏洞链的利用持续四年,暴露的并非技术不可解,而是组织治理的结构性难题。Exchange服务器作为邮件系统的核心组件,其补丁部署涉及业务连续性风险、兼容性测试成本与IT资源排期的多重博弈。

攻击者的成本优势在此凸显:一次漏洞研究投入,可在数年内反复变现;而防御方每次补丁周期都需重新评估风险收益。这种不对称性解释了为何「已知漏洞」仍是入侵主因——据行业统计,多数成功攻击依赖的漏洞公开时间超过一年。

SHADOW-EARTH-053的案例提供了更具体的观察样本。其目标涵盖政府与关键基础设施,这类组织理论上具备更完善的补丁管理机制,却仍成为旧漏洞的受害者。问题可能出在资产可见性(未能识别所有暴露的Exchange实例)、补丁优先级排序(将邮件系统更新置于业务系统之后),或遗留系统的技术债务(无法升级至受支持版本)。

研究人员建议的防御措施并无新意,却直指症结:清点面向互联网的服务器资产、优先修补已知被利用的漏洞、监控EWS异常导出行为、部署网络分段以限制横向移动。这些措施的有效性已被反复验证,差异只在于执行力度。

当ShadowPad的植入通知再次出现在安全日志中时,真正需要回答的问题是:下一个四年,这些漏洞是否仍会被列入攻击者的标准工具包?答案取决于补丁经济学的等式何时被重新计算。