Hafnium駭客組織受中國政府支持 駭入Exchange Server竊取客戶資訊

一個由中國政府支持的駭客組織,透過全球Exchange Server的零時差漏洞駭入,並建立長期存取受害系統的後門。

一個由中國政府支持的駭客組織,透過全球Exchange Server的零時差漏洞駭入,並建立長期存取受害系統的後門。

微軟指出,名為Hafnium的駭客組織利用過去未公開的漏洞,對本地部署的Exchange Server客戶進行「有限目標性攻擊」。駭客藉此存取受害者電子郵件帳號,再進一步安裝其他惡意程式,以便能長期存取受害者的內部網路。

微軟威脅情報中心說,Hafnium以中國為基地,並獲得中國政府支持,但是它主要是租用美國境內的虛擬私有伺服器(virtual private server, VPS)作為行動的據點。它的受害者包括美國傳染病研究機構、政策智庫、高等教育機構、法律事務所、國防外包商及非政府機構(NGO)。等竊取到機密資訊,就將資料傳回檔案共享服務,如Mega。

微軟指出,4項Exchange Server零時差漏洞,包括CVE-2021-26855、CVE-2021-26857、CVE-2021-26858及CVE-2021-27065,遭到Hafnium串連開採而得逞。一開始,駭客經由port 443與Exchange Server建立連線,傳送HTTP呼叫,透過開採CVE-2021-26855或是利用竊來的密碼,冒充合法使用者通過驗證,存取Exchange Server,之後在Exchange Server上執行程式碼,並寫入web shell程式,作為長期從遠端控制受害Exchange Server的後門。

安全廠商Volexity和Dubex分別偵測到攻擊行動,並通報微軟。微軟昨日釋出Exchange Server更新,以修補這4項零時差漏洞,以及3項其他漏洞。

雖然微軟指這波針對Exchange Server的攻擊為「有限的目標性攻擊」,不過一家安全廠商Huntress提出質疑。這家廠商指出,該公司偵測的2,000台Exchange Server 就有近400台存在上述零時差漏洞。另有100台風險極高。此外Huntress將近200家夥伴的Exchange Server上已經發現了惡意web shell程式。

受害範圍超出微軟形容

Huntress資深安全研究員John Hammond指出,受害者可能大於微軟所說的「有限、目標性攻擊」。

此外,微軟指Hafnium的目標是研究單位、高等學術單位、智庫等高檔組織,但Huntress發現到的受害者卻不只如此。其中當然也有市、郡政府、醫療機構、銀行、金融業者及住宅電力供應商,但受害範圍也擴及中型企業、甚至有小型企業,像是小型飯店、冰淇淋廠商、廚具廠商及多個銀髮照護社區。

而在可能被駭的Exchange Server上,Huntress發現了350多個web shell,表示有些目標被植入1個以上,可能是自動化部署的結果,或是多組駭客沒講好重覆植入之故。被駭端點並不是沒有安裝防毒或端點偵測與回應(EDR)產品,但是都被攻擊者巧妙避開了。

Huntress偵測到最早的Exchange Server攻擊發生在上周六(2/27)早上,一直到本周三(3/3)都還持續置入web shell。Hammond指出,目前他們認為沒有任何安全產品可以成功阻擋惡意web shell植入受害系統。

Huntress指出,依微軟Exchange 的普及度來看,這次攻擊相當嚴重, Exchange Server一般可由網際網路公開存取,意謂企業曝露在遠端攻擊的風險中。

來源:CRN

關於我們

自1990年創刊UXmaster雜誌,1991年獲得美國LAN Magazine獨家授權中文版,2006年獲得CMP Network Computing授權,2009年合併CMP Network Magazine獨家授權中文版,2014年轉型為《網路資訊》雜誌網站,為台灣中小企業協助技術領導者落實企業策略,了解網路規劃及應用,為企業網路應用、管理、MIS、IT人員必備之專業雜誌網站。


與我們聯絡

加入《網路資訊》雜誌社群

© Copyright 2021 本站版權所有,禁止任意轉載 網路資訊雜誌 / 心動傳媒股份有限公司 聯絡電話:+886 2 29432416