Theo ghi nhận, tin tặc đã khai thác các lỗ hổng 0-day truy cập vào máy chủ thư Exchange để truy cập vào các tài khoản email và cài đặt phần mềm độc hại nhằm duy trì truy cập lâu dài trên hệ thống của nạn nhân. Trung tâm tri thức an ninh mạng của Microsoft (Microsoft Threat Intelligence Center – MSTIC) đã dựa trên thông tin về các nạn nhân, chiến thuật và quy trình tấn công nhận định vụ việc liên quan tới nhóm tin tặc HAFNIUM, được cho là có liên quan đến chính phủ Trung Quốc.
Các lỗ hổng đang được khai thác gần đây gồm CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 và CVE-2021-27065l. Được biết, Microsoft đã cung cấp bản cập nhật có chứa bản vá cho các lỗ hổng này và khuyến khích các khách hàng hãy cập nhật ngay lập tức.
HAFNIUM chủ yếu nhắm đến các mục tiêu ở Mỹ như các lĩnh vực công nghiệp, bao gồm các nhà nghiên cứu bệnh truyền nhiễm, công ty luật, cơ sở giáo dục đại học, nhà thầu quốc phòng, các tổ chức tư vấn chính sách và các tổ chức phi Chính phủ.
HAFNIUM đã từng xâm nhập vào các hệ thống của nạn nhân bằng cách khai thác lỗ hổng trong các máy chủ có kết nối Internet và sử dụng các nền tảng mã nguồn mở hợp lệ như Covenant để ra lệnh thực thi và kiểm soát. Một khi đã có quyền truy cập vào hệ thống của nạn, HAFNIUM thường tải dữ liệu lên các website chia sẻ như MEGA.
Sau khi khai thác các lỗ hổng này để truy cập, HAFNIUM sẽ triển khai các web shell trên máy chủ bị xâm nhập. Các web shell này cho phép tin tặc đánh cắp dữ liệu và thực hiện một số hành động nguy hại để xâm nhập sâu hơn.
Các hành động mà HAFNIUM thực hiện gồm: Sử dụng Procdump để trích xuất tiến trình bộ nhớ LSASS; Sử dụng 7-Zip để nén các dữ liệu đã thu thập được nhằm đánh cắp thông tin; Sử dụng Exchange Powershell snap-ín để trích xuất dữ liệu mailbox; Sử dụng Nishang Invoke-PowerShellTcpOneline để dịch ngược shell; Tải về PowerCat từ Github để mở kết nối tới máy chủ từ xa. Ngoài ra, HAFNIUM có thể tải về danh bạ Exchange offline từ các hệ thống bị xâm nhập, bao gồm các thông tin về nạn nhân đó và bạn bè của họ.
Bước 1: Trước hết, hãy rà quét các chỉ dấu xâm nhập ở bên dưới (Indicators of Compromise – IoC), truy vết các sự kiện trong log của Exchange.
Bước 2: Kiểm tra các tệp tin nén .zip, .rar và .7z lạ trong thư mục C:\ProgramData\, có thể chứa các dữ liệu bị đánh cắp.
Bước 3: Người dùng kiểm tra các thư mục C:\windows\temp và C:\root để xem có trích xuất LSASS không.
Bước 4: Dò quét các log để tìm kiếm dấu vết tấn công:
Việc khai thác lỗ hổng CVE-2021-26855 có thể bị phát hiện qua log của Exchange HttpProxy. Các log này được lưu trong thư mục %PROGRAMFILES%\Microsoft\Exchange Server\V15\Logging\HttpProxy. Đồng thời có thể được xác định thông qua tìm kiếm log tại vị trí mà AuthenitcatedUser trống và AchorMailbox có chứa mẫu của ServerInfo~*/*. Nếu các hành động này được phát hiện, có thể tìm kiếm các log trong AnchorMailbox để xác định các hành vi được áp dụng tạo thư mục %PROGRAMFILES%\Microsoft\Exchange Server\V15\Logging
Việc khai thác lỗ hổng CVE-2021-26858 có thể bị phát hiện qua log của Exchange: C:\Program Files\Microsoft\Exchange Server\V15\Logging\OABGeneratorLog %PROGRAMFILES%\Microsoft\Exchange Server\V15\ClientAccess\OAB\Tem
Còn việc khai thác lỗ hổng CVE-2021-26857 có thể được phát hiện qua Windows Application event log với nguồn là MSEchange Unified Messaging, EntryType là Error và Event Message Contains: System.InvalidCastException.
Đối với lỗ hổng CVE-2021-27065, người dùng có thể được phát hiện thông qua log của Exchange: C:\Program Files\Microsoft\Exchange Server\V15\Logging\ECP\Server.
Trọng Huấn
12:00 | 03/03/2021
09:00 | 02/04/2021
11:00 | 07/05/2021
10:00 | 18/02/2021
14:00 | 05/02/2021
14:00 | 23/02/2024
Trong thời đại kỹ thuật số phát triển như hiện nay, tấn công phishing đã trở thành một mối đe dọa rất khó phòng tránh đối với người dùng mạng. Theo báo cáo của Tổ chức toàn cầu về chống lừa đảo trên mạng (Anti-Phishing Working Group), trong quý IV/2022, đã có hơn 304.000 trang web phishing được phát hiện, lừa đảo hơn 300 triệu người dùng trên toàn cầu. Đáng chú ý, số lượng trang web phishing đã tăng lên 6,9% so với quý trước, đạt mức cao nhất trong vòng 5 năm. Các cuộc tấn công phishing nhắm vào các tổ chức tài chính, ngân hàng và thanh toán trực tuyến chiếm 42,4% tổng số các cuộc tấn công. Số lượng các tên miền giả mạo đã tăng lên 11,5% so với quý III/2022, đạt mức cao nhất trong vòng 3 năm. Trong bối cảnh như vậy, việc nâng cao nhận thức và có các biện pháp đối phó với tấn công phishing là rất quan trọng.
07:00 | 17/01/2024
Tin tặc đang tăng cường nhắm mục tiêu vào các tài khoản trên mạng xã hội X (trước đây là Twitter) của chính phủ và doanh nghiệp. Đáng lưu ý, các tài khoản này đều được xác minh và gắn huy hiệu 'vàng' và 'xám', tin tặc lợi dụng nó để phát tán các trò lừa đảo tiền điện tử, trang web lừa đảo.
14:00 | 19/12/2023
Một lỗi bảo mật Bluetooth nghiêm trọng được cho là đã tồn tại trong vài năm gần đây có thể bị tin tặc khai thác để chiếm quyền kiểm soát trên các thiết bị Android, Linux, macOS và iOS.
09:00 | 24/11/2023
Phân tích mới đây của công ty nghiên cứu bảo mật Blackwing Intelligence (Mỹ) cho biết nhiều lỗ hổng có thể bị khai thác để vượt qua xác thực Windows Hello trên máy tính xách tay Dell Inspiron 15, Lenovo ThinkPad T14 và Microsoft Surface Pro X. Các nhà nghiên cứu đã tìm ra điểm yếu trong cảm biến vân tay của Goodix, Synaptics và ELAN được nhúng vào thiết bị.
Công ty an ninh mạng Palo Alto Networks (Mỹ) chuyên cung cấp giải pháp tường lửa cảnh báo một lỗ hổng zero-day nghiêm trọng mới, với điểm CVSS tối đa 10/10. Nếu bị khai thác, kẻ tấn công có thể thực thi mã tùy ý với đặc quyền root mà không cần xác thực.
15:00 | 16/04/2024