中國駭客組織Phantom Taurus鎖定Exchange伺服器，竊取外交與軍事機密長達3年

資安研究團隊揭露，名為 Phantom Taurus 的中國駭客組織近 3 年來持續入侵微軟 Exchange 電子郵件伺服器，鎖定各國外交部、大使館與軍事通訊系統，進行長期間諜活動。

精準鎖定高價值目標

Palo Alto Networks 旗下威脅情報團隊 Unit 42 指出，Phantom Taurus 自 2022 年底開始活動，主要針對非洲、中東與亞洲地區的政府機構與電信組織發動攻擊。研究人員發現，這些入侵行動經常在重大國際事件或區域軍事發展前後發生，顯示攻擊時機經過精心規劃。

Unit 42 威脅研究總監 Assaf Dahan 表示，Phantom Taurus 與其他中國駭客組織最大的差異在於精準度。該組織不依賴多數 APT 團體常用的大規模釣魚郵件攻擊，而是直接鎖定關鍵基礎設施脆弱的網頁伺服器與電子郵件伺服器。這種針對性策略使駭客能準確找到目標系統與特定人員，有效取得所需情報。

受害組織包括外交部門、駐外使館，以及接觸國防與地緣政治情報的機構。研究人員特別指出，阿富汗、巴基斯坦與中東國家成為主要攻擊目標，這些正是北京具有戰略利益的地區。

快速應變與持續滲透

Dahan 指出，多數 APT 組織在被發現後會消失數週甚至數月進行工具調整，但 Phantom Taurus 往往在數小時或數天內就重新出現。其運用客製化工具與技術長期躲避偵測，有時能在受害系統中潛伏數月不斷收集情報。研究人員表示，該組織能迅速調整攻擊手法，使追蹤工作更加困難。

Phantom Taurus 的主要任務是收集對中國政府具有經濟與地緣政治價值的敏感非公開資訊，包括外交通訊、軍事情報與政府資料，特別著重於重大區域與全球事件相關的情報。

研究人員發現，該組織的行動時機與範圍通常與國際重大事件及區域安全事務同步。而這並非個案：另一個中國駭客組織 RedNovember 也展現相似模式，在涉及中國關鍵戰略利益的地緣政治與軍事事件前後，針對台灣與巴拿馬的組織發動攻擊。

從竊取郵件轉向直接存取資料庫

Unit 42 的技術分析顯示，Phantom Taurus 的攻擊手法正在演進。駭客初期主要入侵 Exchange 伺服器竊取電子郵件內容，利用企業內部部署的 IIS 與 Exchange 伺服器已知漏洞進行滲透，特別是 ProxyLogon 與 ProxyShell 等高風險漏洞。然而，從 2025 年初開始，該組織轉向直接攻擊資料庫系統。

駭客使用「mssq.bat」批次腳本，透過竊取的管理員憑證連接 SQL Server 資料庫。執行特製的 SQL 查詢後，在資料表中搜尋關鍵字（如 OPEC、軍事情報與國際關係），然後匯出所有符合的結果並關閉連線。整個過程利用 Windows 管理工具（WMI）架構執行，使攻擊行為更難被發現。

NET-STAR惡意軟體套件

研究團隊發現了一款新的惡意軟體套件 NET-STAR，專門設計用來入侵微軟IIS 伺服器。這套以 .NET 開發的工具主要在記憶體中運作，採用無檔案(fileless)設計，大幅提高了偵測難度。

延伸閱讀: BadIIS 惡意軟體變種威脅升級：企業 IIS 伺服器成 SEO 詐騙跳板

NET-STAR 由三個核心元件組成。第一個是 IIServerCore，一種無檔案後門程式，它透過 ASPX 網頁殼層載入，能在記憶體中執行命令列參數、任意指令與酬載(payload)，並經由加密的命令與控制(C2)通道回傳結果。這個後門具有「changeLastModified」功能，可修改檔案系統時間戳記，讓惡意檔案的時間與系統中其他檔案保持一致，藉此混淆資安分析人員與數位鑑識工具。

第二個元件是 AssemblyExecuter V1，能在記憶體中載入並執行額外的 .NET 酬載。第三個元件 AssemblyExecuter V2 是其強化版本，新增了繞過反惡意軟體掃描介面(AMSI)與 Windows 事件追蹤(ETW)的功能，有效「致盲」組織的防禦系統。

Dahan 指出，NET-STAR 展現出對 Windows 環境的深入理解，特別是像 IIServerCore 這類在記憶體中執行以規避偵測的無檔案後門等進階元件。

其他客製化工具

除了 NET-STAR 之外，Phantom Taurus 還部署其他未曾公開記錄的後門程式家族，包括 TunnelSpecter 與 SweetSpecter。這些工具用於入侵郵件伺服器，並根據關鍵字搜尋竊取整個信箱的內容。

研究人員指出，雖然 Phantom Taurus 的戰術與技術與其他中國 APT 組織不同，但其攻擊基礎設施有明顯重疊。Unit 42 發現該組織的伺服器與其他已知中國駭客組織共用，包括 Iron Taurus（APT27）、Starchy Taurus（Winnti 或 APT41）及 Stately Taurus（Mustang Panda）等。

這些共用基礎設施包括相同的 IP 位址、網域註冊資訊與主機供應商。有趣的是，Phantom Taurus 使用的基礎設施元件未出現在其他組織的行動中，顯示在共享生態系統內存在某種「行動區隔化」機制。

防禦建議

資安業者 Bugcrowd 首席策略與信任長 Trey Ford 指出，情報機構的運作優先順序與標準資安營運中心(SOC)的偵測與回應團隊有所不同。傳統回應團隊致力於快速移除入侵者，而情報單位則可能持續監控攻擊者，以深入了解其目標、工具與技術。在某些情況下，執法單位或政府合作夥伴甚至會要求在採取行動前進行延長監控。

針對這類進階持續性威脅，組織應實施以下防護措施：

• 定期修補 IIS 與 Exchange 伺服器的已知漏洞，尤其是 ProxyLogon 與 ProxyShell 等高風險漏洞
• 強化 SQL Server 的存取控制，並監控異常的資料庫查詢活動
• 部署記憶體掃描工具來偵測無檔案惡意軟體
• 監控檔案系統時間戳記的不尋常修改
• 檢查網路流量中的加密 C2 通道
• 為外交、國防等高價值資料建立多層次防護機制
• 實施完整的日誌記錄與稽核系統

本文轉載自DarkReading、HACKREAD、TheHackerNews。