HAFNIUM

HAFNIUM è la designazione data da Microsoft a un nuovo gruppo di hacker che si ritiene si trovi in Cina e sostenuto dal governo cinese. Gli hacker HAFNIUM mostrano alti livelli di competenza e raffinatezza nelle loro operazioni dannose. L'obiettivo principale di questo attore di minacce è stato l'esfiltrazione di dati sensibili da entità negli Stati Uniti. Le vittime mirate sono distribuite in più settori industriali e vanno da studi legali, istituti di istruzione e ricercatori sulle malattie agli appaltatori della difesa e alle ONG (organizzazioni non governative). Nonostante abbia sede in Cina, HAFNIUM ha incorporato VPS (Virtual Private Server) in leasing negli Stati Uniti come parte delle loro operazioni dannose.

Gli analisti di cybersecurity di Microsoft avevano già monitorato l'attività di HAFNIUM da un po 'di tempo prima di decidere di rendere pubbliche le loro scoperte sulla scia dell'ultima campagna di attacco condotta dall'attore della minaccia. HAFNIUM ha sfruttato quattro vulnerabilità zero-day che hanno interessato il software Exchange Server locale. Le vulnerabilità scoperte sono state rilevate come CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 e CVE-2021-27065 e hanno rappresentato una debolezza della sicurezza così grave che Microsoft ha rilasciato diversi aggiornamenti urgenti per risolvere il problema.

La catena di attacchi di questa operazione HAFNIUM comprende tre passaggi. In primo luogo, gli hacker violano l'obiettivo tramite i quattro exploit zero-day o accedendo a credenziali rubate. Una volta all'interno, creerebbero una shell web che consente il controllo remoto sul server compromesso. Nell'ultimo passaggio, l'attore della minaccia ottiene l'accesso agli account di posta elettronica e scarica la rubrica offline di Exchange che contiene varie informazioni sull'organizzazione della vittima e sui suoi utenti. I dati scelti verranno raccolti in file di archivio come .7z e .ZIP e quindi esfiltrati. Nelle campagne passate, HAFNIUM ha spesso caricato le informazioni raccolte dalle proprie vittime su siti Web di condivisione dati di terze parti come MEGA.
La shell web consente inoltre di depositare ulteriori payload di malware sul server violato, probabilmente per garantire un accesso prolungato al sistema della vittima.

I clienti che utilizzano Exchange Server locale sono fortemente incoraggiati a installare gli aggiornamenti di sicurezza rilasciati da Microsoft e a consultare il blog sulla sicurezza dell'azienda in cui sono stati dettagliati numerosi IoC (Indicatori di compromesso).

Con le informazioni sull'attacco HAFNIUM diventate pubbliche, non ci volle molto perché altri gruppi di hacker iniziassero ad abusare delle stesse quattro vulnerabilità zero-day nelle proprie operazioni. In soli nove giorni dalla rivelazione degli exploit, Microsoft ha rilevato che un attore di minacce ha iniziato a diffondere un nuovo ceppo di ransomware chiamato DearCry, mostrando quanto siano diventati veloci i criminali informatici nell'adeguare la loro infrastruttura per incorporare i punti deboli della sicurezza appena scoperti.