Theo ghi nhận, tin tặc đã khai thác các lỗ hổng 0-day truy cập vào máy chủ thư Exchange để truy cập vào các tài khoản email và cài đặt phần mềm độc hại nhằm duy trì truy cập lâu dài trên hệ thống của nạn nhân. Trung tâm tri thức an ninh mạng của Microsoft (Microsoft Threat Intelligence Center – MSTIC) đã dựa trên thông tin về các nạn nhân, chiến thuật và quy trình tấn công nhận định vụ việc liên quan tới nhóm tin tặc HAFNIUM, được cho là có liên quan đến chính phủ Trung Quốc.
Các lỗ hổng đang được khai thác gần đây gồm CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 và CVE-2021-27065l. Được biết, Microsoft đã cung cấp bản cập nhật có chứa bản vá cho các lỗ hổng này và khuyến khích các khách hàng hãy cập nhật ngay lập tức.
HAFNIUM chủ yếu nhắm đến các mục tiêu ở Mỹ như các lĩnh vực công nghiệp, bao gồm các nhà nghiên cứu bệnh truyền nhiễm, công ty luật, cơ sở giáo dục đại học, nhà thầu quốc phòng, các tổ chức tư vấn chính sách và các tổ chức phi Chính phủ.
HAFNIUM đã từng xâm nhập vào các hệ thống của nạn nhân bằng cách khai thác lỗ hổng trong các máy chủ có kết nối Internet và sử dụng các nền tảng mã nguồn mở hợp lệ như Covenant để ra lệnh thực thi và kiểm soát. Một khi đã có quyền truy cập vào hệ thống của nạn, HAFNIUM thường tải dữ liệu lên các website chia sẻ như MEGA.
Sau khi khai thác các lỗ hổng này để truy cập, HAFNIUM sẽ triển khai các web shell trên máy chủ bị xâm nhập. Các web shell này cho phép tin tặc đánh cắp dữ liệu và thực hiện một số hành động nguy hại để xâm nhập sâu hơn.
Các hành động mà HAFNIUM thực hiện gồm: Sử dụng Procdump để trích xuất tiến trình bộ nhớ LSASS; Sử dụng 7-Zip để nén các dữ liệu đã thu thập được nhằm đánh cắp thông tin; Sử dụng Exchange Powershell snap-ín để trích xuất dữ liệu mailbox; Sử dụng Nishang Invoke-PowerShellTcpOneline để dịch ngược shell; Tải về PowerCat từ Github để mở kết nối tới máy chủ từ xa. Ngoài ra, HAFNIUM có thể tải về danh bạ Exchange offline từ các hệ thống bị xâm nhập, bao gồm các thông tin về nạn nhân đó và bạn bè của họ.
Bước 1: Trước hết, hãy rà quét các chỉ dấu xâm nhập ở bên dưới (Indicators of Compromise – IoC), truy vết các sự kiện trong log của Exchange.
Bước 2: Kiểm tra các tệp tin nén .zip, .rar và .7z lạ trong thư mục C:\ProgramData\, có thể chứa các dữ liệu bị đánh cắp.
Bước 3: Người dùng kiểm tra các thư mục C:\windows\temp và C:\root để xem có trích xuất LSASS không.
Bước 4: Dò quét các log để tìm kiếm dấu vết tấn công:
Việc khai thác lỗ hổng CVE-2021-26855 có thể bị phát hiện qua log của Exchange HttpProxy. Các log này được lưu trong thư mục %PROGRAMFILES%\Microsoft\Exchange Server\V15\Logging\HttpProxy. Đồng thời có thể được xác định thông qua tìm kiếm log tại vị trí mà AuthenitcatedUser trống và AchorMailbox có chứa mẫu của ServerInfo~*/*. Nếu các hành động này được phát hiện, có thể tìm kiếm các log trong AnchorMailbox để xác định các hành vi được áp dụng tạo thư mục %PROGRAMFILES%\Microsoft\Exchange Server\V15\Logging
Việc khai thác lỗ hổng CVE-2021-26858 có thể bị phát hiện qua log của Exchange: C:\Program Files\Microsoft\Exchange Server\V15\Logging\OABGeneratorLog %PROGRAMFILES%\Microsoft\Exchange Server\V15\ClientAccess\OAB\Tem
Còn việc khai thác lỗ hổng CVE-2021-26857 có thể được phát hiện qua Windows Application event log với nguồn là MSEchange Unified Messaging, EntryType là Error và Event Message Contains: System.InvalidCastException.
Đối với lỗ hổng CVE-2021-27065, người dùng có thể được phát hiện thông qua log của Exchange: C:\Program Files\Microsoft\Exchange Server\V15\Logging\ECP\Server.
Trọng Huấn
12:00 | 03/03/2021
09:00 | 02/04/2021
11:00 | 07/05/2021
10:00 | 18/02/2021
14:00 | 05/02/2021
11:00 | 26/04/2024
Các nhà nghiên cứu của công ty an ninh mạng BlackBerry đã phát hiện một chiến dịch gián điệp mạng nhắm vào người dùng iPhone ở khu vực Nam Á, với mục đích phân phối payload của phần mềm gián điệp có tên là LightSpy. BlackBerry cho biết chiến dịch này có khả năng cho thấy sự tập trung mới của các tác nhân đe dọa vào các mục tiêu chính trị và căng thẳng trong khu vực.
16:00 | 15/04/2024
Cisco đã chia sẻ một bộ hướng dẫn dành cho khách hàng nhằm giảm thiểu các cuộc tấn công password spray đang nhắm mục tiêu vào các dịch vụ VPN truy cập từ xa (RAVPN) được cấu hình trên các thiết bị tường lửa bảo mật của Cisco.
09:00 | 09/04/2024
Các nhà nghiên cứu bảo mật của IBM đã chứng minh rằng tin tặc có thể sử dụng trí tuệ nhân tạo (AI) tạo sinh và công nghệ deepfake âm thanh để chiếm quyền điều khiển và thao túng các cuộc hội thoại trực tiếp.
13:00 | 14/12/2023
RisePro là một phần mềm độc hại đánh cắp thông tin dưới dạng dịch vụ, được xác định lần đầu tiên vào năm 2022. Gần đây, các nhà nghiên cứu của Anyrun nhận thấy hoạt động của phần mềm độc hại này tăng đột biến, đồng thời thay đổi cách giao tiếp với máy chủ điều khiển và kiểm soát (C2), cũng như trang bị những khả năng mới, đặc biệt là các tính năng điều khiển từ xa khiến nó có khả năng hoạt động như một RAT (Remote Access Trojan).
Các nhà nghiên cứu tại tổ chức bảo mật phi lợi nhuận Shadowserver Foundation (California) cho biết hàng nghìn thiết bị Ivanti VPN kết nối với Internet có khả năng bị ảnh hưởng bởi một lỗ hổng thực thi mã từ xa.
08:00 | 17/04/2024