Hafnium駭客組織受中國政府支持 駭入Exchange Server竊取客戶資訊

一個由中國政府支持的駭客組織，透過全球Exchange Server的零時差漏洞駭入，並建立長期存取受害系統的後門。

微軟指出，名為Hafnium的駭客組織利用過去未公開的漏洞，對本地部署的Exchange Server客戶進行「有限目標性攻擊」。駭客藉此存取受害者電子郵件帳號，再進一步安裝其他惡意程式，以便能長期存取受害者的內部網路。

微軟威脅情報中心說，Hafnium以中國為基地，並獲得中國政府支持，但是它主要是租用美國境內的虛擬私有伺服器(virtual private server, VPS)作為行動的據點。它的受害者包括美國傳染病研究機構、政策智庫、高等教育機構、法律事務所、國防外包商及非政府機構(NGO)。等竊取到機密資訊，就將資料傳回檔案共享服務，如Mega。

微軟指出，4項Exchange Server零時差漏洞，包括CVE-2021-26855、CVE-2021-26857、CVE-2021-26858及CVE-2021-27065，遭到Hafnium串連開採而得逞。一開始，駭客經由port 443與Exchange Server建立連線，傳送HTTP呼叫，透過開採CVE-2021-26855或是利用竊來的密碼，冒充合法使用者通過驗證，存取Exchange Server，之後在Exchange Server上執行程式碼，並寫入web shell程式，作為長期從遠端控制受害Exchange Server的後門。

安全廠商Volexity和Dubex分別偵測到攻擊行動，並通報微軟。微軟昨日釋出Exchange Server更新，以修補這4項零時差漏洞，以及3項其他漏洞。

雖然微軟指這波針對Exchange Server的攻擊為「有限的目標性攻擊」，不過一家安全廠商Huntress提出質疑。這家廠商指出，該公司偵測的2,000台Exchange Server 就有近400台存在上述零時差漏洞。另有100台風險極高。此外Huntress將近200家夥伴的Exchange Server上已經發現了惡意web shell程式。

受害範圍超出微軟形容

Huntress資深安全研究員John Hammond指出，受害者可能大於微軟所說的「有限、目標性攻擊」。

此外，微軟指Hafnium的目標是研究單位、高等學術單位、智庫等高檔組織，但Huntress發現到的受害者卻不只如此。其中當然也有市、郡政府、醫療機構、銀行、金融業者及住宅電力供應商，但受害範圍也擴及中型企業、甚至有小型企業，像是小型飯店、冰淇淋廠商、廚具廠商及多個銀髮照護社區。

而在可能被駭的Exchange Server上，Huntress發現了350多個web shell，表示有些目標被植入1個以上，可能是自動化部署的結果，或是多組駭客沒講好重覆植入之故。被駭端點並不是沒有安裝防毒或端點偵測與回應(EDR)產品，但是都被攻擊者巧妙避開了。

Huntress偵測到最早的Exchange Server攻擊發生在上周六(2/27)早上，一直到本周三(3/3)都還持續置入web shell。Hammond指出，目前他們認為沒有任何安全產品可以成功阻擋惡意web shell植入受害系統。

Huntress指出，依微軟Exchange 的普及度來看，這次攻擊相當嚴重， Exchange Server一般可由網際網路公開存取，意謂企業曝露在遠端攻擊的風險中。

來源：CRN