Theo ghi nhận, tin tặc đã khai thác các lỗ hổng 0-day truy cập vào máy chủ thư Exchange để truy cập vào các tài khoản email và cài đặt phần mềm độc hại nhằm duy trì truy cập lâu dài trên hệ thống của nạn nhân. Trung tâm tri thức an ninh mạng của Microsoft (Microsoft Threat Intelligence Center – MSTIC) đã dựa trên thông tin về các nạn nhân, chiến thuật và quy trình tấn công nhận định vụ việc liên quan tới nhóm tin tặc HAFNIUM, được cho là có liên quan đến chính phủ Trung Quốc.
Các lỗ hổng đang được khai thác gần đây gồm CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 và CVE-2021-27065l. Được biết, Microsoft đã cung cấp bản cập nhật có chứa bản vá cho các lỗ hổng này và khuyến khích các khách hàng hãy cập nhật ngay lập tức.
HAFNIUM chủ yếu nhắm đến các mục tiêu ở Mỹ như các lĩnh vực công nghiệp, bao gồm các nhà nghiên cứu bệnh truyền nhiễm, công ty luật, cơ sở giáo dục đại học, nhà thầu quốc phòng, các tổ chức tư vấn chính sách và các tổ chức phi Chính phủ.
HAFNIUM đã từng xâm nhập vào các hệ thống của nạn nhân bằng cách khai thác lỗ hổng trong các máy chủ có kết nối Internet và sử dụng các nền tảng mã nguồn mở hợp lệ như Covenant để ra lệnh thực thi và kiểm soát. Một khi đã có quyền truy cập vào hệ thống của nạn, HAFNIUM thường tải dữ liệu lên các website chia sẻ như MEGA.
Sau khi khai thác các lỗ hổng này để truy cập, HAFNIUM sẽ triển khai các web shell trên máy chủ bị xâm nhập. Các web shell này cho phép tin tặc đánh cắp dữ liệu và thực hiện một số hành động nguy hại để xâm nhập sâu hơn.
Các hành động mà HAFNIUM thực hiện gồm: Sử dụng Procdump để trích xuất tiến trình bộ nhớ LSASS; Sử dụng 7-Zip để nén các dữ liệu đã thu thập được nhằm đánh cắp thông tin; Sử dụng Exchange Powershell snap-ín để trích xuất dữ liệu mailbox; Sử dụng Nishang Invoke-PowerShellTcpOneline để dịch ngược shell; Tải về PowerCat từ Github để mở kết nối tới máy chủ từ xa. Ngoài ra, HAFNIUM có thể tải về danh bạ Exchange offline từ các hệ thống bị xâm nhập, bao gồm các thông tin về nạn nhân đó và bạn bè của họ.
Bước 1: Trước hết, hãy rà quét các chỉ dấu xâm nhập ở bên dưới (Indicators of Compromise – IoC), truy vết các sự kiện trong log của Exchange.
Bước 2: Kiểm tra các tệp tin nén .zip, .rar và .7z lạ trong thư mục C:\ProgramData\, có thể chứa các dữ liệu bị đánh cắp.
Bước 3: Người dùng kiểm tra các thư mục C:\windows\temp và C:\root để xem có trích xuất LSASS không.
Bước 4: Dò quét các log để tìm kiếm dấu vết tấn công:
Việc khai thác lỗ hổng CVE-2021-26855 có thể bị phát hiện qua log của Exchange HttpProxy. Các log này được lưu trong thư mục %PROGRAMFILES%\Microsoft\Exchange Server\V15\Logging\HttpProxy. Đồng thời có thể được xác định thông qua tìm kiếm log tại vị trí mà AuthenitcatedUser trống và AchorMailbox có chứa mẫu của ServerInfo~*/*. Nếu các hành động này được phát hiện, có thể tìm kiếm các log trong AnchorMailbox để xác định các hành vi được áp dụng tạo thư mục %PROGRAMFILES%\Microsoft\Exchange Server\V15\Logging
Việc khai thác lỗ hổng CVE-2021-26858 có thể bị phát hiện qua log của Exchange: C:\Program Files\Microsoft\Exchange Server\V15\Logging\OABGeneratorLog %PROGRAMFILES%\Microsoft\Exchange Server\V15\ClientAccess\OAB\Tem
Còn việc khai thác lỗ hổng CVE-2021-26857 có thể được phát hiện qua Windows Application event log với nguồn là MSEchange Unified Messaging, EntryType là Error và Event Message Contains: System.InvalidCastException.
Đối với lỗ hổng CVE-2021-27065, người dùng có thể được phát hiện thông qua log của Exchange: C:\Program Files\Microsoft\Exchange Server\V15\Logging\ECP\Server.
Trọng Huấn
12:00 | 03/03/2021
09:00 | 02/04/2021
11:00 | 07/05/2021
10:00 | 18/02/2021
14:00 | 05/02/2021
19:00 | 30/04/2024
DinodasRAT hay còn được gọi là XDealer là một backdoor đa nền tảng được phát triển bằng ngôn ngữ C++ cung cấp nhiều tính năng độc hại. DinodasRAT cho phép kẻ tấn công theo dõi và thu thập dữ liệu nhạy cảm từ máy tính của mục tiêu. Một phiên bản cho hệ điều hành Windows của phần mềm độc hại này đã được sử dụng trong các cuộc tấn công nhắm mục tiêu vào các thực thể của Chính phủ Guyana và được các nhà nghiên cứu tới từ công ty bảo mật ESET (Slovakia) báo cáo với tên gọi là chiến dịch Jacana. Bài viết sẽ phân tích cơ chế hoạt động của phần mềm độc hại DinodasRAT dựa trên báo cáo của hãng bảo mật Kaspersky.
08:00 | 04/04/2024
Các nhà nghiên cứu bảo mật phát hiện ra plugin của bên thứ ba hiện có dành cho ChatGPT có thể hoạt động như một bề mặt tấn công mới để truy cập trái phép vào dữ liệu nhạy cảm.
14:00 | 22/02/2024
Các nhà nghiên cứu của hãng bảo mật Kaspersky đã phát hiện ra một dòng phần mềm độc hại mới được phân phối một cách bí mật thông qua các ứng dụng, phần mềm bẻ khóa (crack), nhắm mục tiêu vào ví tiền điện tử của người dùng macOS. Theo các nhà nghiên cứu, mối đe dọa mới này có những tính năng nổi trội hơn so với việc cài đặt trái phép Trojan trên các máy chủ proxy đã được phát hiện trước đó.
17:00 | 21/12/2023
Mới đây, nhóm Nghiên cứu và Phân tích Toàn cầu của Kaspersky phát hiện một chiến dịch gián điệp mạng đang nhắm mục tiêu đánh cắp dữ liệu lưu trữ trên các thiết bị USB an toàn sử dụng trong các cơ quan, tổ chức chính phủ các nước Châu Á - Thái Bình dương (APAC).
Một lỗ hổng nghiêm trọng ảnh hưởng đến nhiều ngôn ngữ lập trình cho phép kẻ tấn công chèn lệnh vào các ứng dụng Windows.
09:00 | 03/05/2024