Theo ghi nhận, tin tặc đã khai thác các lỗ hổng 0-day truy cập vào máy chủ thư Exchange để truy cập vào các tài khoản email và cài đặt phần mềm độc hại nhằm duy trì truy cập lâu dài trên hệ thống của nạn nhân. Trung tâm tri thức an ninh mạng của Microsoft (Microsoft Threat Intelligence Center – MSTIC) đã dựa trên thông tin về các nạn nhân, chiến thuật và quy trình tấn công nhận định vụ việc liên quan tới nhóm tin tặc HAFNIUM, được cho là có liên quan đến chính phủ Trung Quốc.
Các lỗ hổng đang được khai thác gần đây gồm CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 và CVE-2021-27065l. Được biết, Microsoft đã cung cấp bản cập nhật có chứa bản vá cho các lỗ hổng này và khuyến khích các khách hàng hãy cập nhật ngay lập tức.
HAFNIUM chủ yếu nhắm đến các mục tiêu ở Mỹ như các lĩnh vực công nghiệp, bao gồm các nhà nghiên cứu bệnh truyền nhiễm, công ty luật, cơ sở giáo dục đại học, nhà thầu quốc phòng, các tổ chức tư vấn chính sách và các tổ chức phi Chính phủ.
HAFNIUM đã từng xâm nhập vào các hệ thống của nạn nhân bằng cách khai thác lỗ hổng trong các máy chủ có kết nối Internet và sử dụng các nền tảng mã nguồn mở hợp lệ như Covenant để ra lệnh thực thi và kiểm soát. Một khi đã có quyền truy cập vào hệ thống của nạn, HAFNIUM thường tải dữ liệu lên các website chia sẻ như MEGA.
Sau khi khai thác các lỗ hổng này để truy cập, HAFNIUM sẽ triển khai các web shell trên máy chủ bị xâm nhập. Các web shell này cho phép tin tặc đánh cắp dữ liệu và thực hiện một số hành động nguy hại để xâm nhập sâu hơn.
Các hành động mà HAFNIUM thực hiện gồm: Sử dụng Procdump để trích xuất tiến trình bộ nhớ LSASS; Sử dụng 7-Zip để nén các dữ liệu đã thu thập được nhằm đánh cắp thông tin; Sử dụng Exchange Powershell snap-ín để trích xuất dữ liệu mailbox; Sử dụng Nishang Invoke-PowerShellTcpOneline để dịch ngược shell; Tải về PowerCat từ Github để mở kết nối tới máy chủ từ xa. Ngoài ra, HAFNIUM có thể tải về danh bạ Exchange offline từ các hệ thống bị xâm nhập, bao gồm các thông tin về nạn nhân đó và bạn bè của họ.
Bước 1: Trước hết, hãy rà quét các chỉ dấu xâm nhập ở bên dưới (Indicators of Compromise – IoC), truy vết các sự kiện trong log của Exchange.
Bước 2: Kiểm tra các tệp tin nén .zip, .rar và .7z lạ trong thư mục C:\ProgramData\, có thể chứa các dữ liệu bị đánh cắp.
Bước 3: Người dùng kiểm tra các thư mục C:\windows\temp và C:\root để xem có trích xuất LSASS không.
Bước 4: Dò quét các log để tìm kiếm dấu vết tấn công:
Việc khai thác lỗ hổng CVE-2021-26855 có thể bị phát hiện qua log của Exchange HttpProxy. Các log này được lưu trong thư mục %PROGRAMFILES%\Microsoft\Exchange Server\V15\Logging\HttpProxy. Đồng thời có thể được xác định thông qua tìm kiếm log tại vị trí mà AuthenitcatedUser trống và AchorMailbox có chứa mẫu của ServerInfo~*/*. Nếu các hành động này được phát hiện, có thể tìm kiếm các log trong AnchorMailbox để xác định các hành vi được áp dụng tạo thư mục %PROGRAMFILES%\Microsoft\Exchange Server\V15\Logging
Việc khai thác lỗ hổng CVE-2021-26858 có thể bị phát hiện qua log của Exchange: C:\Program Files\Microsoft\Exchange Server\V15\Logging\OABGeneratorLog %PROGRAMFILES%\Microsoft\Exchange Server\V15\ClientAccess\OAB\Tem
Còn việc khai thác lỗ hổng CVE-2021-26857 có thể được phát hiện qua Windows Application event log với nguồn là MSEchange Unified Messaging, EntryType là Error và Event Message Contains: System.InvalidCastException.
Đối với lỗ hổng CVE-2021-27065, người dùng có thể được phát hiện thông qua log của Exchange: C:\Program Files\Microsoft\Exchange Server\V15\Logging\ECP\Server.
Trọng Huấn
12:00 | 03/03/2021
09:00 | 02/04/2021
11:00 | 07/05/2021
10:00 | 18/02/2021
14:00 | 05/02/2021
09:00 | 19/04/2024
Theo nhận định của Cục An toàn thông tin (Bộ Thông tin và Truyền thông), trong thời gian gần đây các chiêu trò lừa đảo trực tuyến ngày càng gia tăng với các hình thức tinh vi hơn. Điều này khiến cho nhiều người dân khó nhận biết để phòng tránh nguy cơ mất an toàn thông tin.
11:00 | 29/02/2024
Các nhà nghiên cứu của hãng bảo mật Palo Alto Networks (Mỹ) đã phát hiện một biến thể mới của Trojan ngân hàng Mispadu đang tiến hành các hoạt động khai thác lỗ hổng Windows SmartScreen đã được vá để nhắm mục tiêu đến các nạn nhân ở Mexico. Bài viết sẽ phân tích và thảo luận xoay quanh biến thể mới của Mispadu và tấn công khai thác lỗ hổng Windows SmartScreen dựa trên báo cáo của Palo Alto Networks.
14:00 | 22/02/2024
Các nhà nghiên cứu của hãng bảo mật Kaspersky đã phát hiện ra một dòng phần mềm độc hại mới được phân phối một cách bí mật thông qua các ứng dụng, phần mềm bẻ khóa (crack), nhắm mục tiêu vào ví tiền điện tử của người dùng macOS. Theo các nhà nghiên cứu, mối đe dọa mới này có những tính năng nổi trội hơn so với việc cài đặt trái phép Trojan trên các máy chủ proxy đã được phát hiện trước đó.
15:00 | 26/01/2024
Các nhà nghiên cứu bảo mật của công ty an ninh mạng Akamai (Mỹ) phát hiện ra một mạng botnet mới dựa trên Mirai có tên là NoaBot, hiện đang được các tác nhân đe dọa sử dụng như một phần của chiến dịch khai thác tiền điện tử đã hoạt động kể từ đầu năm 2023. Bài viết này sẽ phân tích về đặc điểm của NoaBot và công cụ khai thác tiền điện tử được sử dụng trong chiến dịch tấn công mạng botnet này.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Các nhà nghiên cứu tại tổ chức bảo mật phi lợi nhuận Shadowserver Foundation (California) cho biết hàng nghìn thiết bị Ivanti VPN kết nối với Internet có khả năng bị ảnh hưởng bởi một lỗ hổng thực thi mã từ xa.
08:00 | 17/04/2024
