하프늄

HAFNIUM은 Microsoft가 중국에 위치하며 중국 정부의 지원을받는 새로운 해커 그룹에 부여한 지정입니다. HAFNIUM 해커는 악의적 인 작업에서 높은 수준의 숙련도와 정교함을 보여줍니다. 이 위협 행위자의 주요 목표는 미국에있는 엔티티에서 민감한 데이터를 유출하는 것입니다. 표적 피해자는 로펌, 교육 기관 및 질병 연구자부터 방위 산업체 및 NGO (비정부기구)에 이르기까지 다양한 산업 분야에 걸쳐 있습니다. 중국에 기반을두고 있음에도 불구하고 HAFNIUM은 악성 작업의 일부로 미국에서 임대 된 VPS (Virtual Private Servers)를 통합했습니다.

Microsoft의 사이버 보안 분석가는 위협 행위자가 수행 한 최신 공격 캠페인의 여파로 발견 된 결과를 공개하기로 결정하기 전에 이미 꽤 오랫동안 HAFNIUM의 활동을 모니터링했습니다. HAFNIUM은 온-프레미스 Exchange Server 소프트웨어에 영향을 미치는 4 가지 제로 데이 취약점을 악용했습니다. 발견 된 취약점은 CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 및 CVE-2021-27065로 추적되었으며 Microsoft가 문제를 해결하는 몇 가지 긴급 업데이트를 발표 한 심각한 보안 약점을 나타냅니다.

이 HAFNIUM 작업의 공격 체인에는 세 단계가 포함됩니다. 첫째, 해커는 4 개의 제로 데이 익스플로잇을 통해 또는 훔친 자격 증명에 대한 액세스를 통해 표적을 침해합니다. 일단 내부에 들어가면 손상된 서버를 원격으로 제어 할 수있는 웹 셸을 만듭니다. 마지막 단계에서 위협 행위자는 전자 메일 계정에 액세스하고 피해자 조직 및 사용자에 대한 다양한 정보가 포함 된 Exchange 오프라인 주소록을 다운로드합니다. 선택한 데이터는 .7z 및 .ZIP과 같은 아카이브 파일에 수집 된 다음 추출됩니다. 과거 캠페인에서 HAFNIUM은 종종 피해자로부터 수집 한 정보를 MEGA와 같은 제 3 자 데이터 공유 웹 사이트에 업로드했습니다.
웹 셸은 또한 추가 악성 코드 페이로드가 침해 된 서버에 저장되도록 허용하여 피해자의 시스템에 대한 장기간 액세스를 보장합니다.

온-프레미스 Exchange Server를 사용하는 고객은 Microsoft에서 릴리스 한 보안 업데이트를 설치하고 수많은 IoC (Indicators of Compromise)가 자세히 설명 된 회사의 보안 블로그를 확인하는 것이 좋습니다.

HAFNIUM 공격에 대한 정보가 공개됨에 따라 다른 해커 그룹이 자체 작업에서 동일한 4 개의 제로 데이 취약점을 악용하기 시작하는 데 오래 걸리지 않았습니다. 익스플로잇이 공개 된 지 9 일 만에 Microsoft는 위협 행위자가 DearCry 라는 새로운 유형의 랜섬웨어를 확산하기 시작했음을 감지하여 사이버 범죄자가 새로 발견 된 보안 약점을 통합하기 위해 인프라를 조정하는 속도를 보여줍니다.