ГАФНИЙ

HAFNIUM - это обозначение, данное Microsoft новой хакерской группе, которая предположительно находится в Китае и поддерживается правительством Китая. Хакеры HAFNIUM демонстрируют высокий уровень мастерства и изощренности в своих вредоносных операциях. Основная цель этого злоумышленника - кража конфиденциальных данных от организаций в Соединенных Штатах. Целевые жертвы разбросаны по нескольким отраслям промышленности и варьируются от юридических фирм, образовательных учреждений и исследователей болезней до подрядчиков по оборонным вопросам и НПО (неправительственных организаций). Несмотря на то, что HAFNIUM базируется в Китае, она использует арендованные VPS (виртуальные частные серверы) в Соединенных Штатах как часть своих вредоносных операций.

Аналитики по кибербезопасности в Microsoft уже довольно долго отслеживали деятельность HAFNIUM, прежде чем решили обнародовать свои выводы после последней кампании атаки, проведенной злоумышленником. HAFNIUM использовал четыре уязвимости нулевого дня, которые затронули локальное программное обеспечение Exchange Server. Обнаруженные уязвимости отслеживались как CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 и CVE-2021-27065 и представляли собой такую серьезную слабость безопасности, что Microsoft выпустила несколько срочных обновлений для решения этой проблемы.

Цепочка атаки этой операции HAFNIUM состоит из трех шагов. Во-первых, хакеры взламывают цель либо с помощью четырех эксплойтов нулевого дня, либо с помощью доступа к украденным учетным данным. Оказавшись внутри, они создают веб-оболочку, которая позволяет удаленно управлять взломанным сервером. На последнем этапе злоумышленник получит доступ к учетным записям электронной почты и загрузит автономную адресную книгу Exchange, которая содержит различную информацию об организации-жертве и ее пользователях. Выбранные данные будут собраны в архивных файлах, таких как .7z и .ZIP, а затем удалены. В прошлых кампаниях HAFNIUM часто загружал информацию, полученную от своих жертв, на сторонние сайты обмена данными, такие как MEGA.
Веб-оболочка также позволяет размещать дополнительные вредоносные программы на взломанном сервере, что, вероятно, обеспечит длительный доступ к системе жертвы.

Клиентам, использующим локальный сервер Exchange Server, настоятельно рекомендуется установить обновления безопасности, выпущенные Microsoft, и ознакомиться с блогом компании по безопасности, в котором подробно описаны многочисленные индикаторы IoC (индикаторы взлома).

Когда информация об атаке HAFNIUM стала достоянием общественности, другим группам хакеров не потребовалось много времени, чтобы начать злоупотреблять теми же четырьмя уязвимостями нулевого дня в своих собственных операциях. Всего через девять дней после обнаружения эксплойтов Microsoft обнаружила, что злоумышленник начал распространять новую разновидность программы-вымогателя под названием DearCry, демонстрируя, насколько быстро киберпреступники приспособили свою инфраструктуру для включения недавно обнаруженных слабых мест в системе безопасности.