HAFNIUM

HAFNIUM-Beschreibung

HAFNIUM ist die Bezeichnung, die Microsoft einer neuen Hacker-Gruppe gibt, von der angenommen wird, dass sie sich in China befindet und von der chinesischen Regierung unterstützt wird. Die HAFNIUM-Hacker zeigen ein hohes Maß an Kompetenz und Raffinesse bei ihren böswilligen Operationen. Das Hauptziel dieses Bedrohungsakteurs war die Exfiltration sensibler Daten von Unternehmen in den USA. Die Opfer sind auf mehrere Branchen verteilt und reichen von Anwaltskanzleien, Bildungseinrichtungen und Krankheitsforschern bis hin zu Verteidigungsunternehmen und NRO (Nichtregierungsorganisationen). Obwohl HAFNIUM seinen Sitz in China hat, hat HAFNIUM im Rahmen seiner böswilligen Operationen geleaste VPS (Virtual Private Server) in den USA integriert.

Die Cybersicherheitsanalysten von Microsoft hatten die Aktivitäten von HAFNIUM bereits seit geraumer Zeit überwacht, bevor sie beschlossen, ihre Ergebnisse nach der jüngsten Angriffskampagne des Bedrohungsakteurs an die Öffentlichkeit zu bringen. HAFNIUM hat vier Zero-Day-Schwachstellen ausgenutzt, die die lokale Exchange Server-Software betrafen. Die entdeckten Sicherheitslücken wurden als CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 und CVE-2021-27065 verfolgt und stellten eine so schwerwiegende Sicherheitslücke dar, dass Microsoft mehrere dringende Updates zur Behebung des Problems veröffentlichte.

Die Angriffskette dieser HAFNIUM-Operation umfasst drei Schritte. Erstens verletzen die Hacker das Ziel entweder durch die vier Zero-Day-Exploits oder durch den Zugriff auf gestohlene Anmeldeinformationen. Einmal drinnen, würden sie eine Web-Shell erstellen, die die Fernsteuerung über den gefährdeten Server ermöglicht. Im letzten Schritt würde der Bedrohungsakteur Zugriff auf E-Mail-Konten erhalten und das Exchange-Offline-Adressbuch herunterladen, das verschiedene Informationen über die Opferorganisation und ihre Benutzer enthält. Die ausgewählten Daten würden in Archivdateien wie .7z und .ZIP gesammelt und dann exfiltriert. In früheren Kampagnen hat HAFNIUM die von ihren Opfern gesammelten Informationen häufig auf Websites zum Datenaustausch von Drittanbietern wie MEGA hochgeladen.
Die Web-Shell ermöglicht auch das Ablegen zusätzlicher Malware-Nutzdaten auf dem Server, auf dem ein Verstoß vorliegt, wodurch ein längerer Zugriff auf das System des Opfers gewährleistet wird.

Kunden, die lokalen Exchange Server verwenden, wird dringend empfohlen, die von Microsoft veröffentlichten Sicherheitsupdates zu installieren und den Sicherheitsblog des Unternehmens zu lesen, in dem zahlreiche IoC (Indicators of Compromise) aufgeführt sind.

Nachdem Informationen über den HAFNIUM-Angriff veröffentlicht wurden, dauerte es nicht lange, bis andere Hacker-Gruppen die gleichen vier Zero-Day-Schwachstellen in ihren eigenen Operationen missbrauchten. In nur neun Tagen nach der Enthüllung der Exploits stellte Microsoft fest, dass ein Bedrohungsakteur damit begonnen hat, eine neue Art von Ransomware namens DearCry zu verbreiten. Dies zeigt, wie schnell Cyberkriminelle ihre Infrastruktur angepasst haben, um neu entdeckte Sicherheitslücken zu berücksichtigen.

Hinterlasse eine Antwort

Bitte verwenden Sie NICHT dieses Kommentarsystem für Support oder Zahlungsfragen. Für technische Supportanfragen zu SpyHunter wenden Sie sich bitte direkt an unser technisches Support-Team, indem Sie über SpyHunter ein Kunden-Support-Ticket öffnen. Für Rechnungsprobleme, leiten Sie bitte zu unserer "Rechnungsfragen oder Probleme?" Seite weiter. Für allgemeine Anfragen (Beschwerden, rechtliche Fragen, Presse, Marketing, Copyright) besuchen Sie unsere Seite "Anfragen und Feedback".


HTML ist nicht erlaubt.