3月2日(火)、Microsoft Threat Intelligence Center(MTIC)は、オンプレミスのMicrosoft Exchangeサーバーを標的としたHafniumと呼ばれるキャンペーンの詳細を公開した。この攻撃は、Exchangeの複数の0-dayエクスプロイトを利用しており、攻撃者は多要素認証(MFA)を含む認証をバイパスして標的組織内の電子メールアカウントにアクセスし、脆弱なMicrosoft Exchangeサーバー上でマルウェアをリモート実行し、長期的なアクセスを容易にします。
この攻撃は、脆弱性のある外部向け Microsoft Exchange サーバーをグローバルにスキャンすることから始まりました。興味のあるサーバーが特定されると、攻撃者はゼロデイサーバーサイドリクエストフォージェリ(SSRF)リモートエクスプロイトを活用し、China Chopperとして知られるウェブシェルをアップロードしました。このWebシェルにより、攻撃者は電子メールデータを盗み出し、ネットワーク環境に深く侵入する可能性がありました。
なお、この脆弱性はMicrosoft Office 365には影響しないようだ。
Vectra Detect を使用しているお客様は、Exchange サーバーに関連する検知を確認してください。攻撃で文書化されたリバースシェルは、外部リモートアクセスの検知をトリガーし、そのチャネルを介したExchangeサーバからのデータの流出は、Smash & Grabアラートをトリガーします。Exchangeサーバーからの内部偵察や横方向の移動の兆候があれば、これらのアラートは攻撃者がネットワークの奥深くまで移動していることを示しているため、注意深く確認する必要があります。
Vectra または Recallまたは Streamの顧客は、Exchange サーバーとの接続を確認する必要があります。Vectra センサーが Exchange サーバーへの送信トラフィックから受信トラフィックへの可視性を持っている場 合、チームは次の IP アドレスのいずれかからの接続を確認する必要があります:165.232.154.116、157.230.221.198、および 161.35.45.41。以下のクエリを使用して、影響を受ける可能性のあるホストを検索してください。
{
"query": {
"bool":{
"べき "である:[
{
"match_phrase": {
"id.orig_h":"165.232.154.116"
}
},
{
"match_phrase": {
"id.orig_h":"157.230.221.198"
}
},
{
"match_phrase": {
"id.orig_h":"161.35.45.41"
}
}
],
"minimum_should_match":1
}
}
}
いつものように、Vectra 、顧客はできるだけ早くマイクロソフトが提供する利用可能なパッチを使用してExchangeサーバーを更新するか、パッチを適用できるようになるまでこれらのExchangeサーバーへの外部アクセスを制限することをお勧めします。
情報漏えいの被害に遭われた可能性がある場合、Vectra がどのようにお役に立てるかについては、Vectra がお客様の組織でこのような攻撃をどのように検知し、阻止できるかデモをご予約いただくか、弊社までお問い合わせください。