HÁFNIO

HAFNIUM é a designação dada pela Microsoft a um novo grupo de hackers que se acredita estar localizado na China e ser apoiado pelo governo chinês. Os hackers HAFNIUM mostram altos níveis de proficiência e sofisticação em suas operações maliciosas. O objetivo principal desse ator de ameaça é a exfiltração de dados confidenciais de entidades nos Estados Unidos. As vítimas visadas estão espalhadas por vários setores da indústria e variam de escritórios de advocacia, instituições de ensino e pesquisadores de doenças a empreiteiros de defesa e ONGs (organizações não governamentais). Apesar de estar baseado na China, HAFNIUM incorporou VPS (Virtual Private Servers) alugados nos Estados Unidos como parte de suas operações maliciosas.

Os analistas de segurança cibernética da Microsoft já vinham monitorando a atividade do HAFNIUM há algum tempo antes de decidir tornar suas descobertas públicas após a última campanha de ataque realizada pelo ator da ameaça. HAFNIUM explorou quatro vulnerabilidades de dia zero que afetaram o software Exchange Server local. As vulnerabilidades descobertas foram rastreadas como CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 e CVE-2021-27065 e representaram uma falha de segurança tão grave que a Microsoft lançou várias atualizações urgentes para resolver o problema.

A cadeia de ataque desta operação HAFNIUM inclui três etapas. Primeiro, os hackers violam o alvo por meio de quatro exploits de dia zero ou tendo acesso a credenciais roubadas. Uma vez dentro, eles criariam um shell da web que permite o controle remoto do servidor comprometido. Na última etapa, o agente da ameaça obteria acesso às contas de email e baixaria o catálogo de endereços offline do Exchange que contém várias informações sobre a organização vítima e seus usuários. Os dados escolhidos seriam coletados em arquivos como .7z e .ZIP e, em seguida, exfiltrados. Em campanhas anteriores, HAFNIUM frequentemente carregou as informações coletadas de suas vítimas para sites de compartilhamento de dados de terceiros, como o MEGA.
O shell da web também permite que cargas de malware adicionais sejam depositadas no servidor violado, provavelmente para garantir acesso prolongado ao sistema da vítima.

Os clientes que usam o Exchange Server local são fortemente encorajados a instalar as atualizações de segurança lançadas pela Microsoft e verificar o blog de segurança da empresa, onde vários IoC (indicadores de comprometimento) foram detalhados.

Com as informações sobre o ataque HAFNIUM se tornando públicas, não demorou muito para que outros grupos de hackers começassem a abusar das mesmas quatro vulnerabilidades de dia zero em suas próprias operações. Em apenas nove dias após a revelação das explorações, a Microsoft detectou que um ator de ameaça começou a espalhar uma nova variedade de ransomware chamada DearCry , mostrando como os cibercriminosos se tornaram rápidos em ajustar sua infraestrutura para incorporar fragilidades de segurança recentemente descobertas.

Tendendo

Mais visto

Carregando...