HAFNIO

HAFNIUM es la designación otorgada por Microsoft a un nuevo grupo de hackers que se cree que está ubicado en China y que cuenta con el respaldo del gobierno chino. Los piratas informáticos HAFNIUM muestran altos niveles de competencia y sofisticación en sus operaciones maliciosas. El objetivo principal de este actor de amenazas ha sido la exfiltración de datos confidenciales de entidades en los Estados Unidos. Las víctimas objetivo se distribuyen en múltiples sectores industriales y van desde bufetes de abogados, instituciones educativas e investigadores de enfermedades hasta contratistas de defensa y ONG (organizaciones no gubernamentales). A pesar de tener su sede en China, HAFNIUM ha incorporado VPS (Servidores Privados Virtuales) arrendados en los Estados Unidos como parte de sus operaciones maliciosas.

Los analistas de ciberseguridad de Microsoft ya habían estado monitoreando la actividad de HAFNIUM durante bastante tiempo antes de decidir hacer públicos sus hallazgos a raíz de la última campaña de ataque llevada a cabo por el actor de la amenaza. HAFNIUM aprovechó cuatro vulnerabilidades de día cero que afectaron el software de Exchange Server local. Las vulnerabilidades descubiertas se rastrearon como CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 y CVE-2021-27065, y representaron una debilidad de seguridad tan grave que Microsoft lanzó varias actualizaciones urgentes para abordar el problema.

La cadena de ataque de esta operación HAFNIUM incluye tres pasos. Primero, los piratas informáticos violan el objetivo a través de los cuatro exploits de día cero o al tener acceso a credenciales robadas. Una vez dentro, crearían un shell web que permite el control remoto sobre el servidor comprometido. En el último paso, el actor de la amenaza obtendría acceso a las cuentas de correo electrónico y descargaría la libreta de direcciones sin conexión de Exchange que contiene información diversa sobre la organización víctima y sus usuarios. Los datos elegidos se recopilarán en archivos de almacenamiento como .7z y .ZIP y luego se exfiltrarán. En campañas anteriores, HAFNIUM a menudo ha subido la información recopilada de sus víctimas a sitios web de intercambio de datos de terceros, como MEGA.
El shell web también permite que se depositen cargas útiles de malware adicionales en el servidor vulnerado, probablemente para garantizar un acceso prolongado al sistema de la víctima.

Se recomienda encarecidamente a los clientes que utilizan Exchange Server en las instalaciones que instalen las actualizaciones de seguridad publicadas por Microsoft y que consulten el blog de seguridad de la empresa, donde se han detallado numerosos indicadores de compromiso (IoC).

Con la información sobre el ataque HAFNIUM que se hizo pública, otros grupos de hackers no tardaron en comenzar a abusar de las mismas cuatro vulnerabilidades de día cero en sus propias operaciones. En solo nueve días después de la revelación de los exploits, Microsoft detectó que un actor de amenazas ha comenzado a difundir una nueva cepa de ransomware llamada DearCry, lo que muestra cuán rápido se han vuelto los ciberdelincuentes para ajustar su infraestructura para incorporar debilidades de seguridad recién descubiertas.