HAFNIUM

HAFNIUM är den beteckning som Microsoft gav till en ny hackargrupp som tros ligga i Kina och stöds av den kinesiska regeringen. HAFNIUM-hackarna visar hög kompetens och förfining i sina skadliga operationer. Det primära målet för denna hotaktör har varit exfiltrering av känslig data från enheter i USA. De riktade offren är spridda över flera branscher och sträcker sig från advokatbyråer, utbildningsinstitutioner och sjukdomsforskare till försvarsentreprenörer och icke-statliga organisationer (icke-statliga organisationer). Trots att de är baserade i Kina har HAFNIUM införlivat hyrda VPS (Virtual Private Servers) i USA som en del av deras skadliga verksamhet.

Cybersäkerhetsanalytikerna hos Microsoft hade redan övervakat HAFNIUMs aktivitet under en längre tid innan de beslutade att offentliggöras med sina resultat i kölvattnet av den senaste attackkampanjen som utfördes av hotaktören. HAFNIUM utnyttjade fyra nolldagars sårbarheter som påverkade lokal Exchange Server-programvara. De upptäckta sårbarheterna spårades som CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 och CVE-2021-27065, och representerade en så allvarlig säkerhetssvaghet att Microsoft släppte flera brådskande uppdateringar som tog itu med problemet.

Attackkedjan för denna HAFNIUM-operation innehåller tre steg. För det första bryter hackarna mot målet genom antingen de fyra nolldagarna eller genom att ha tillgång till stulna referenser. En gång inuti skulle de skapa ett webbskal som möjliggör fjärrkontroll över den komprometterade servern. I det sista steget skulle hotaktören få tillgång till e-postkonton och ladda ner Exchange offline-adressboken som innehåller olika uppgifter om offerorganisationen och dess användare. De valda uppgifterna samlas in i arkivfiler som .7z och .ZIP och sedan exfiltreras. I tidigare kampanjer har HAFNIUM ofta laddat upp informationen som samlats in från sina offer till tredjepartswebbplatser för datadelning, såsom MEGA.
Webbskalet tillåter också att ytterligare skadliga nyttolaster deponeras på den trasiga servern, vilket sannolikt kommer att säkerställa långvarig åtkomst till offrets system.

Kunder som använder lokal Exchange Server uppmuntras starkt att installera säkerhetsuppdateringar som släppts av Microsoft och kolla in företagets säkerhetsblogg där många IoC (Indicators of Compromise) har beskrivits.

Eftersom informationen om HAFNIUM-attacken blev offentlig, tog det inte lång tid för andra hackargrupper att börja missbruka samma fyra nolldagars sårbarheter i sina egna operationer. På bara nio dagar efter avslöjandet av exploateringen upptäckte Microsoft att en hotaktör har börjat sprida en ny stam av ransomware som heter DearCry, vilket visar hur snabbt cyberbrottslingar har blivit för att anpassa sin infrastruktur för att införliva nyligen upptäckta säkerhetsbrister.