Hafnium 駭客組織受中國政府支持 駭入 Exchange Server 竊取客戶資訊

一個由中國政府支持的駭客組織,透過全球Exchange Server的零時差漏洞駭入,並建立長期存取受害系統的後門。

一個由中國政府支持的駭客組織,透過全球 Exchange Server 的零時差漏洞駭入,並建立長期存取受害系統的後門。

微軟指出,名為 Hafnium 的駭客組織利用過去未公開的漏洞,對本地部署的 Exchange Server 客戶進行「有限目標性攻擊」。駭客藉此存取受害者電子郵件帳號,再進一步安裝其他惡意程式,以便能長期存取受害者的內部網路。

微軟威脅情報中心說,Hafnium 以中國為基地,並獲得中國政府支持,但是它主要是租用美國境內的虛擬私有伺服器 (virtual private server, VPS) 作為行動的據點。它的受害者包括美國傳染病研究機構、政策智庫、高等教育機構、法律事務所、國防外包商及非政府機構 (NGO)。等竊取到機密資訊,就將資料傳回檔案共享服務,如 Mega。

微軟指出,4 項 Exchange Server 零時差漏洞,包括 CVE-2021-26855、CVE-2021-26857、CVE-2021-26858 及 CVE-2021-27065,遭到 Hafnium 串連開採而得逞。一開始,駭客經由 port 443 與 Exchange Server 建立連線,傳送 HTTP 呼叫,透過開採 CVE-2021-26855 或是利用竊來的密碼,冒充合法使用者通過驗證,存取 Exchange Server,之後在 Exchange Server 上執行程式碼,並寫入 web shell 程式,作為長期從遠端控制受害 Exchange Server 的後門。

安全廠商 Volexity 和 Dubex 分別偵測到攻擊行動,並通報微軟。微軟昨日釋出 Exchange Server 更新,以修補這 4 項零時差漏洞,以及 3 項其他漏洞。

雖然微軟指這波針對 Exchange Server 的攻擊為「有限的目標性攻擊」,不過一家安全廠商 Huntress 提出質疑。這家廠商指出,該公司偵測的 2,000 台 Exchange Server 就有近 400 台存在上述零時差漏洞。另有 100 台風險極高。此外 Huntress 將近 200 家夥伴的 Exchange Server 上已經發現了惡意 web shell 程式。

受害範圍超出微軟形容

Huntress 資深安全研究員 John Hammond 指出,受害者可能大於微軟所說的「有限、目標性攻擊」。

此外,微軟指 Hafnium 的目標是研究單位、高等學術單位、智庫等高檔組織,但 Huntress 發現到的受害者卻不只如此。其中當然也有市、郡政府、醫療機構、銀行、金融業者及住宅電力供應商,但受害範圍也擴及中型企業、甚至有小型企業,像是小型飯店、冰淇淋廠商、廚具廠商及多個銀髮照護社區。

而在可能被駭的 Exchange Server 上,Huntress 發現了 350 多個 web shell,表示有些目標被植入 1 個以上,可能是自動化部署的結果,或是多組駭客沒講好重覆植入之故。被駭端點並不是沒有安裝防毒或端點偵測與回應 (EDR) 產品,但是都被攻擊者巧妙避開了。

Huntress 偵測到最早的 Exchange Server 攻擊發生在上周六 (2/27) 早上,一直到本周三 (3/3) 都還持續置入 web shell。Hammond 指出,目前他們認為沒有任何安全產品可以成功阻擋惡意 web shell 植入受害系統。

Huntress 指出,依微軟 Exchange 的普及度來看,這次攻擊相當嚴重, Exchange Server 一般可由網際網路公開存取,意謂企業曝露在遠端攻擊的風險中。

來源:CRN

關於我們

自 1990 年創刊 UXmaster 雜誌,1991 年獲得美國 LAN Magazine 獨家授權中文版,2006 年獲得 CMP Network Computing 授權,2009 年合併 CMP Network Magazine 獨家授權中文版,2014 年轉型為《網路資訊》雜誌網站,為台灣中小企業協助技術領導者落實企業策略,了解網路規劃及應用,為企業網路應用、管理、MIS、IT 人員必備之專業雜誌網站。


與我們聯絡

加入《網路資訊》雜誌社群

© Copyright 2022 本站版權所有,禁止任意轉載 網路資訊雜誌 / 心動傳媒股份有限公司 聯絡電話:+886 2 29432416