Theo ghi nhận, tin tặc đã khai thác các lỗ hổng 0-day truy cập vào máy chủ thư Exchange để truy cập vào các tài khoản email và cài đặt phần mềm độc hại nhằm duy trì truy cập lâu dài trên hệ thống của nạn nhân. Trung tâm tri thức an ninh mạng của Microsoft (Microsoft Threat Intelligence Center – MSTIC) đã dựa trên thông tin về các nạn nhân, chiến thuật và quy trình tấn công nhận định vụ việc liên quan tới nhóm tin tặc HAFNIUM, được cho là có liên quan đến chính phủ Trung Quốc.
Các lỗ hổng đang được khai thác gần đây gồm CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 và CVE-2021-27065l. Được biết, Microsoft đã cung cấp bản cập nhật có chứa bản vá cho các lỗ hổng này và khuyến khích các khách hàng hãy cập nhật ngay lập tức.
HAFNIUM
HAFNIUM chủ yếu nhắm đến các mục tiêu ở Mỹ như các lĩnh vực công nghiệp, bao gồm các nhà nghiên cứu bệnh truyền nhiễm, công ty luật, cơ sở giáo dục đại học, nhà thầu quốc phòng, các tổ chức tư vấn chính sách và các tổ chức phi Chính phủ.
HAFNIUM đã từng xâm nhập vào các hệ thống của nạn nhân bằng cách khai thác lỗ hổng trong các máy chủ có kết nối Internet và sử dụng các nền tảng mã nguồn mở hợp lệ như Covenant để ra lệnh thực thi và kiểm soát. Một khi đã có quyền truy cập vào hệ thống của nạn, HAFNIUM thường tải dữ liệu lên các website chia sẻ như MEGA.
Kỹ thuật tấn công
Sau khi khai thác các lỗ hổng này để truy cập, HAFNIUM sẽ triển khai các web shell trên máy chủ bị xâm nhập. Các web shell này cho phép tin tặc đánh cắp dữ liệu và thực hiện một số hành động nguy hại để xâm nhập sâu hơn.
Các hành động mà HAFNIUM thực hiện gồm: Sử dụng Procdump để trích xuất tiến trình bộ nhớ LSASS; Sử dụng 7-Zip để nén các dữ liệu đã thu thập được nhằm đánh cắp thông tin; Sử dụng Exchange Powershell snap-ín để trích xuất dữ liệu mailbox; Sử dụng Nishang Invoke-PowerShellTcpOneline để dịch ngược shell; Tải về PowerCat từ Github để mở kết nối tới máy chủ từ xa. Ngoài ra, HAFNIUM có thể tải về danh bạ Exchange offline từ các hệ thống bị xâm nhập, bao gồm các thông tin về nạn nhân đó và bạn bè của họ.
Cách xác định người dùng có bị xâm nhập
Bước 1: Trước hết, hãy rà quét các chỉ dấu xâm nhập ở bên dưới (Indicators of Compromise – IoC), truy vết các sự kiện trong log của Exchange.
- b75f163ca9b9240bf4b37ad92bc7556b40a17e27c2b8ed5c8991385fe07d17d0
- 097549cf7d0f76f0d99edf8b2d91c60977fd6a96e4b8c3c94b0b1733dc026d3e
- 2b6f1ebb2208e93ade4a6424555d6a8341fd6d9f60c25e44afe11008f5c1aad1
- 65149e036fff06026d80ac9ad4d156332822dc93142cf1a122b1841ec8de34b5
- 511df0e2df9bfa5521b588cc4bb5f8c5a321801b803394ebc493db1ef3c78fa1
- 4edc7770464a14f54d17f36dc9d0fe854f68b346b27b35a6f5839adf1f13f8ea
- 811157f9c7003ba8d17b45eb3cf09bef2cecd2701cedb675274949296a6a183d
- 1631a90eb5395c4e19c7dbcbf611bbe6444ff312eb7937e286e4637cb9e72944
Bước 2: Kiểm tra các tệp tin nén .zip, .rar và .7z lạ trong thư mục C:\ProgramData\, có thể chứa các dữ liệu bị đánh cắp.
Bước 3: Người dùng kiểm tra các thư mục C:\windows\temp và C:\root để xem có trích xuất LSASS không.
Bước 4: Dò quét các log để tìm kiếm dấu vết tấn công:
Việc khai thác lỗ hổng CVE-2021-26855 có thể bị phát hiện qua log của Exchange HttpProxy. Các log này được lưu trong thư mục %PROGRAMFILES%\Microsoft\Exchange Server\V15\Logging\HttpProxy. Đồng thời có thể được xác định thông qua tìm kiếm log tại vị trí mà AuthenitcatedUser trống và AchorMailbox có chứa mẫu của ServerInfo~*/*. Nếu các hành động này được phát hiện, có thể tìm kiếm các log trong AnchorMailbox để xác định các hành vi được áp dụng tạo thư mục %PROGRAMFILES%\Microsoft\Exchange Server\V15\Logging
Việc khai thác lỗ hổng CVE-2021-26858 có thể bị phát hiện qua log của Exchange: C:\Program Files\Microsoft\Exchange Server\V15\Logging\OABGeneratorLog %PROGRAMFILES%\Microsoft\Exchange Server\V15\ClientAccess\OAB\Tem
Còn việc khai thác lỗ hổng CVE-2021-26857 có thể được phát hiện qua Windows Application event log với nguồn là MSEchange Unified Messaging, EntryType là Error và Event Message Contains: System.InvalidCastException.
Đối với lỗ hổng CVE-2021-27065, người dùng có thể được phát hiện thông qua log của Exchange: C:\Program Files\Microsoft\Exchange Server\V15\Logging\ECP\Server.