HAFNIUM

HAFNIUM ist die Bezeichnung, die Microsoft einer neuen Hacker-Gruppe gibt, von der angenommen wird, dass sie sich in China befindet und von der chinesischen Regierung unterstützt wird. Die HAFNIUM-Hacker zeigen ein hohes Maß an Kompetenz und Raffinesse bei ihren böswilligen Operationen. Das Hauptziel dieses Bedrohungsakteurs war die Exfiltration sensibler Daten von Unternehmen in den USA. Die Opfer sind auf mehrere Branchen verteilt und reichen von Anwaltskanzleien, Bildungseinrichtungen und Krankheitsforschern bis hin zu Verteidigungsunternehmen und NRO (Nichtregierungsorganisationen). Obwohl HAFNIUM seinen Sitz in China hat, hat HAFNIUM im Rahmen seiner böswilligen Operationen geleaste VPS (Virtual Private Server) in den USA integriert.

Die Cybersicherheitsanalysten von Microsoft hatten die Aktivitäten von HAFNIUM bereits seit geraumer Zeit überwacht, bevor sie beschlossen, ihre Ergebnisse nach der jüngsten Angriffskampagne des Bedrohungsakteurs an die Öffentlichkeit zu bringen. HAFNIUM hat vier Zero-Day-Schwachstellen ausgenutzt, die die lokale Exchange Server-Software betrafen. Die entdeckten Sicherheitslücken wurden als CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 und CVE-2021-27065 verfolgt und stellten eine so schwerwiegende Sicherheitslücke dar, dass Microsoft mehrere dringende Updates zur Behebung des Problems veröffentlichte.

Die Angriffskette dieser HAFNIUM-Operation umfasst drei Schritte. Erstens verletzen die Hacker das Ziel entweder durch die vier Zero-Day-Exploits oder durch den Zugriff auf gestohlene Anmeldeinformationen. Einmal drinnen, würden sie eine Web-Shell erstellen, die die Fernsteuerung über den gefährdeten Server ermöglicht. Im letzten Schritt würde der Bedrohungsakteur Zugriff auf E-Mail-Konten erhalten und das Exchange-Offline-Adressbuch herunterladen, das verschiedene Informationen über die Opferorganisation und ihre Benutzer enthält. Die ausgewählten Daten würden in Archivdateien wie .7z und .ZIP gesammelt und dann exfiltriert. In früheren Kampagnen hat HAFNIUM die von ihren Opfern gesammelten Informationen häufig auf Websites zum Datenaustausch von Drittanbietern wie MEGA hochgeladen.
Die Web-Shell ermöglicht auch das Ablegen zusätzlicher Malware-Nutzdaten auf dem Server, auf dem ein Verstoß vorliegt, wodurch ein längerer Zugriff auf das System des Opfers gewährleistet wird.

Kunden, die lokalen Exchange Server verwenden, wird dringend empfohlen, die von Microsoft veröffentlichten Sicherheitsupdates zu installieren und den Sicherheitsblog des Unternehmens zu lesen, in dem zahlreiche IoC (Indicators of Compromise) aufgeführt sind.

Nachdem Informationen über den HAFNIUM-Angriff veröffentlicht wurden, dauerte es nicht lange, bis andere Hacker-Gruppen die gleichen vier Zero-Day-Schwachstellen in ihren eigenen Operationen missbrauchten. In nur neun Tagen nach der Enthüllung der Exploits stellte Microsoft fest, dass ein Bedrohungsakteur damit begonnen hat, eine neue Art von Ransomware namens DearCry zu verbreiten. Dies zeigt, wie schnell Cyberkriminelle ihre Infrastruktur angepasst haben, um neu entdeckte Sicherheitslücken zu berücksichtigen.

Im Trend

Am häufigsten gesehen

Wird geladen...