铪说明

HAFNIUM 是微软对一个据信位于中国并得到中国政府支持的新黑客组织的命名。 HAFNIUM 黑客在其恶意操作中表现出高水平的熟练度和复杂性。该威胁行为者的主要目标是从美国实体中窃取敏感数据。目标受害者遍布多个行业部门,范围从律师事务所、教育机构和疾病研究人员到国防承包商和 NGO(非政府组织)。尽管总部位于中国,但 HAFNIUM 已将在美国租用的 VPS(虚拟专用服务器)作为其恶意操作的一部分。

微软的网络安全分析师已经监视 HAFNIUM 的活动一段时间了,然后决定在威胁行为者进行的最新攻击活动之后公开他们的发现。 HAFNIUM 利用了影响本地 Exchange Server 软件的四个零日漏洞。发现的漏洞被跟踪为 CVE-2021-26855、CVE-2021-26857、CVE-2021-26858 和 CVE-2021-27065,代表了如此严重的安全漏洞,微软发布了几个紧急更新来解决这个问题。

这个 HAFNIUM 操作的攻击链包括三个步骤。首先,黑客通过四个零日漏洞或访问被盗凭据来破坏目标。一旦进入,他们将创建一个 web shell,允许远程控制受感染的服务器。在最后一步,攻击者将获得对电子邮件帐户的访问权限并下载 Exchange 离线通讯簿,其中包含有关受害组织及其用户的各种信息。所选数据将被收集在 .7z 和 .ZIP 等存档文件中,然后被泄露。在过去的活动中,HAFNIUM 经常将从受害者那里收集的信息上传到 MEGA 等第三方数据共享网站。
Web shell 还允许将额外的恶意软件有效载荷存放到被破坏的服务器上,可能会确保延长对受害者系统的访问。

强烈建议使用本地 Exchange Server 的客户安装 Microsoft 发布的安全更新,并查看公司的安全博客,其中详细介绍了大量 IoC(妥协指标)。

随着有关 HAFNIUM 攻击的信息公开,其他黑客组织很快就开始在自己的运营中滥用相同的四个零日漏洞。在漏洞曝光后的短短 9 天内,微软就检测到威胁行为者开始传播一种名为DearCry的新型勒索软件,这表明网络犯罪分子在调整其基础设施以整合新发现的安全漏洞方面的速度有多快。