オペレーション・エクスチェンジ・マローダー

HAFNIUM APT、Microsoft Exchangeのゼロデイ脆弱性を悪用してデータを盗み、マルウェアをインストールする

2021年1月、Violexityのセキュリティ研究者は 明らかにしました 中国に関連するHAFNIUM APTによって、複数の無名の組織を標的にした長期的な悪意のある作戦が開始されたことを。脅威アクターはMicrosoft Exchangeの以前に未公開だったゼロデイ脆弱性のセットを利用して、機密企業情報にアクセスし、侵入後の他の悪意ある行動を行いました。

Microsoft Exchange Serverのゼロデイ脆弱性（CVE-2021-26855、CVE-2021-26857、CVE-2021-26858、CVE-2021-27065）

研究者たちは、Operation Exchange Marauderの過程で野生で悪用されている4つの新しいゼロデイを報告しています。

HAFNIUMの脅威アクターが最初に利用する問題は、サーバーサイドリクエストフォージェリ（SSRF）バグ（CVE-2021-26855）であり、これによりリモートの未承認のアクターが任意のHTTPリクエストをポート443に送信し、Exchangeサーバーとして認証できる可能性があります。その結果、攻撃者は標的ネットワークに特別な知識がなくても、簡単に企業のメールボックスにアクセスできます。

このキャンペーンで使われた次のゼロデイ問題は、統合メッセージングサービスに存在する安全でないデシリアライゼーションバグ（CVE-2021-26857）です。このセキュリティホールを利用すると、ハッカーは脆弱なExchangeサーバー上でSYSTEMとして任意のコードを実行できます。ただし、成功するには管理者権限または他のフローをまず利用する必要があります。

残りの2つのゼロデイは、認証後の任意のファイル書き込みバグ（CVE-2021-26858、CVE-2021-27065）であり、侵害されたサーバー上の任意のパスにファイルを記述することを可能にします。この脆弱性の利用には認証が必要ですが、それはSSRFフロー（CVE-2021-26855）を介して、または管理者資格情報をダンプすることによって達成される可能性があります。

Operation Exchange Marauder：攻撃の詳細

Microsoftは報告しています 中国の国家支援のアクターが上記のゼロデイの組み合わせを利用して、システムにWebシェルをドロップし、メールデータや管理者資格情報をダンプしたことを。また、敵対者はExchangeのオフラインアドレス帳（OAB）にアクセスすることに成功しました。集められたすべての詳細は、標的とされた組織に対するさらなる偵察のために利用される可能性があります。

Operation Exchange Marauderで攻撃を受けたベンダーは明らかにされていません。しかし、以前のHAFNIUM APTキャンペーンは、高度な組織、特に米国に所在する可能性があることを示しています。以前、脅威アクターは、産業企業、教育機関、シンクタンク、非政府組織など米国内の様々な資産を妥協していることが特定されました。

特に、HAFNIUM APT以外にも、いくつかの他のハッカーグループがMicrosoft Exchangeのゼロデイを悪用し、サイバー諜報を目的としていることが特定されています。特に、 ESETは観察しました 米国、ドイツ、フランス、カザフスタン内のエンティティに対するアクティブなSSRF脆弱性（CVE-2021-26855）悪用を。

検出と緩和策

によると Microsoftのアドバイザリ, 新しいゼロデイはMicrosoft Exchange Serverバージョン2010、2013、2016、2019に影響を与えます。緊急パッチは2021年3月2日にリリースされており、ユーザーはできるだけ早くアップグレードするよう促されています。

アクティブな脆弱性の悪用を考慮し、攻撃の検出を迅速に行うために、Microsoftとの共同で、SOC Primeチームは新たに発見されたゼロデイに関連する可能性のある悪意の活動を特定するための無料のSigmaルールセットを緊急にリリースしました。

未知のExchange 0 Day 2021年3月（ウェブ経由）

可能性のあるHAFNIUM Webシェル 2021年3月（ウェブ経由）

可能性のあるExchange CVE-2021-26858（ファイルイベント経由）

Powershell Exchangeスナップイン（コマンドライン経由）

可能性のあるExchange CVE-2021-26858（監査経由）

Powershellが未加工ソケットを開いています（コマンドライン経由）

未知のExchange 0day関連のクラッシュイベント（アプリケーション経由）

UMWorkerProcessが異常な子プロセスを作成 CVE-2021-26857（コマンドライン経由）

2021年3月18日からの更新： Microsoft Exchangeのゼロデイ脆弱性を利用する可能性のある攻撃に対する積極的な防御を強化するため、SOC PrimeのアクティブなThreat Bounty開発者 Emir Erdogan は一連のコミュニティSigmaルールをリリースしました。以下のリンクを経由して検出を探索してください。

ポストエクスプロイトWebシェルへのアクセス Exchangeサーバー（Webログユーザーエージェント）

CVE-2021-27065がExchange Serverで悪用されCHOPPER Webシェルを展開

Marauder Active Exploitation of Multiple Zero-Day Microsoft Exchange Vulnerabilities (via WebServer)

Microsoft Exchange Hafniumからのポストエクスプロイト（スケジュールタスクとプロキシ経由）

既知のプロセスによるWebシェルをドロップする可能性のあるファイル作成 CVE-2021-26858

これらの重大な問題に関連する新しいSOCコンテンツを見逃さず、最新のThreat Detection Marketplaceの更新に注目してください。新しいルールはすべてこの投稿に追加されます。

無料サブスクリプションを取得する Threat Detection Marketplaceの世界をリードするコンテンツ・アズ・ア・サービス（CaaS）プラットフォームで、プロアクティブなサイバー防御のための96,000以上の検出とレスポンスルールを集約しています。独自の検出コンテンツを作成したいですか？ Threat Bounty Programに参加する し、グローバルな脅威ハンティングイニシアチブに貢献してください。