鉿說明

HAFNIUM 是微軟對一個據信位於中國並得到中國政府支持的新黑客組織的命名。 HAFNIUM 黑客在其惡意操作中表現出高水平的熟練度和復雜性。該威脅參與者的主要目標是從美國實體中洩露敏感數據。目標受害者遍布多個行業部門,範圍從律師事務所、教育機構和疾病研究人員到國防承包商和 NGO(非政府組織)。儘管總部位於中國,但 HAFNIUM 已將在美國租用的 VPS(虛擬專用服務器)作為其惡意操作的一部分。

微軟的網絡安全分析師已經監視 HAFNIUM 的活動一段時間了,然後決定在威脅行為者進行的最新攻擊活動之後公開他們的發現。 HAFNIUM 利用了影響本地 Exchange Server 軟件的四個零日漏洞。發現的漏洞被跟踪為 CVE-2021-26855、CVE-2021-26857、CVE-2021-26858 和 CVE-2021-27065,代表瞭如此嚴重的安全漏洞,微軟發布了幾個緊急更新來解決這個問題。

這個 HAFNIUM 操作的攻擊鏈包括三個步驟。首先,黑客通過四個零日漏洞或訪問被盜憑據來破壞目標。一旦進入,他們將創建一個 web shell,允許遠程控制受感染的服務器。在最後一步,攻擊者將獲得對電子郵件帳戶的訪問權限並下載 Exchange 離線通訊簿,其中包含有關受害組織及其用戶的各種信息。所選數據將被收集在 .7z 和 .ZIP 等存檔文件中,然後被洩露。在過去的活動中,HAFNIUM 經常將從受害者那裡收集的信息上傳到 MEGA 等第三方數據共享網站。
Web shell 還允許將額外的惡意軟件有效載荷存放到被破壞的服務器上,可能會確保延長對受害者係統的訪問。

強烈建議使用本地 Exchange Server 的客戶安裝 Microsoft 發布的安全更新,並查看公司的安全博客,其中詳細介紹了大量 IoC(妥協指標)。

隨著有關 HAFNIUM 攻擊的信息公開,其他黑客組織很快就開始在自己的運營中濫用相同的四個零日漏洞。在漏洞曝光後的短短 9 天內,微軟就檢測到威脅行為者開始傳播一種名為DearCry的新型勒索軟件,這表明網絡犯罪分子在調整其基礎設施以整合新發現的安全漏洞方面的速度有多快。