Hakerzy powiązani z Chinami wykorzystali podatności w produkcie Microsoftu

3 marca 2021, 10:46
Microsoft_Suzhou_Location
Fot. V-huawe/Wikimedia Commons/CC 4.0

Hakerzy powiązani z Chinami wykorzystali luki w jednym z produktów Microsoftu do prowadzenia wrogiej kampanii, której celem była kradzież danych i uzyskanie trwałego dostępu do urządzeń ofiar. Grupa odpowiedzialna za operację skupia się przede wszystkim na podmiotach w Stanach Zjednoczonych, w tym firmach z sektora obronnego, placówkach medycznych i badawczych oraz instytucjach szkolnictwa wyższego.

Specjaliści Microsoftu wykryli „wiele exploitów zero-day” używanych do ataków na oprogramowanie Microsoft Exchange Server w ramach ukierunkowanych operacji hakerskich. Podczas wrogich działań wykorzystano luki w celu uzyskania trwałego dostępu do serwerów, co miało ułatwić zewnętrznemu aktorowi wgląd do kont e-mail ofiar oraz umożliwić zainstalowanie na ich urządzeniach złośliwego oprogramowania.

Zespół Microsoft Threat Intelligence Center (MSTIC) przypisał kampanię grupie „Hafnium”, która jest podmiotem sponsorowanym przez państwo. Specjaliści wskazują, że hakerzy są powiązani z Chinami, lecz działają poza granicami Państwa Środka, o czym świadczą zebrane podczas analizy dowody.

„Hafnium” skupia się przede wszystkim na celach w Stanach Zjednoczonych z różnych branż, w tym m.in. instytucjach szkolnictwa wyższego, firmach z sektora obronnego, organizacjach pozarządowych, placówkach medycznych i badawczych czy też kancelariach prawnych.

„Hafnium” zazwyczaj eksfiltruje dane do zewnętrznych witryn (…) Hakerzy działają głównie z dzierżawionych wirtualnych serwerów prywatnych (VPS) w Stanach Zjednoczonych. 

Microsoft

Dzięki przeprowadzeniu szczegółowej analizy kampanii, specjaliści Microsoftu odkryli, że podczas wrogich działań hakerzy wykorzystali cztery luki w oprogramowaniu Microsoft Exchange Server: CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 oraz CVE-2021-27065. Następnie dokonywali kradzieży danych i wykonywali dodatkowe działania, które prowadziły m.in. do dalszych włamań, dzięki instalacji złośliwego oprogramowania.

W związku z identyfikowaną kampanią oraz ujawnionymi lukami w jednym z produktów, Microsoft niezwłocznie podjął działania w celu wyeliminowania podatności i wydał aktualizację dla Exchange Server, aby podnieść bezpieczeństwo klientów. Koncern zachęca wszystkich użytkowników do natychmiastowego pobrania i zainstalowania poprawek, które mają ochronić ich przed działalnością hakerów.

image

 

CyberDefence24
CyberDefence24
KomentarzeLiczba komentarzy: 0
No results found.
Tweets CyberDefence24