C&C Traffic durch HAFNIUM Gruppe
Zero-Day Vulnerabilities in Microsoft Exchange Server
2. Februar 2021
Details zu neu erkannter Malware in Verbindung mit der SolarWinds-Attacke
9. März 2021Erhöhte Vorsicht bei C&C Traffic in Verbindung mit Exchange Lücke
Die derzeit laufende Kampagne der HAFNIUM Grupppe sticht durch die Benutzung folgender Domains aktuell besonders hervor.
Die fett markierten konnten wir bereits teilweise bei Kunden feststellen und sind besonders aktiv:
p.estonine[.]com cdn.chatcdn[.]net nfiuerwtftasnuk[.]com doverpolice[.]org sbyod[.]buzz ghinda[.]net aapress[.]com japonismo[.]com itbusiness[.]hu ulloi129[.]hu ombi[.]io nclcusa[.]org thehorcrux[.]com sonicscanf[.]org onlinecasinos77singapore[.]com lurkingnet[.]com aj[.]skt-one[.]com sy[.]skt-one[.]com mm[.]skt-one[.]com ss[.]skt-one[.]com syy[.]skt-one[.]com ssy[.]skt-one[.]com six[.]skt-one[.]com tmh[.]skt-one[.]com
Sollten diese Domains bei Ihnen auffallen, ist eine dringende Überprüfung des Exchange Servers erforderlich!
Weiters sind in der Liste hier IP-Adressen zu finden, die ebenfalls im Zusammenhang mit dieser Kampagne auffindbar waren.
Benutzen Sie dazu das “WiredPulse/Invoke-HAFNIUMCheck.ps1” Script von Githup bzw. das “Microsoft IoC Detection Tool”.
Blue Shield Umbrella blockt den C&C Traffic. Sie sollten jedoch unbedingt eine Bereinigung bzw. Update der Exchange Server durchführen.
Updates dazu finden Sie hier:
- Exchange Server 2010 (RU 31 for Service Pack 3)
- Exchange Server 2013 (CU 23)
- Exchange Server 2016 (CU 19, CU 18)
- Exchange Server 2019 (CU 8, CU 7)
Was können Sie noch unternehmen:
- nutzen Sie den Microsoft Safety Scanner um Exchange Server Web-Shells zu finden und zu entfernen
- sannen Sie nach IoC (Indicator of Compromise) mit dem “Microsoft IoC Detection Tool”
- prüfen Sie Ihr Active Directory, ob Sie neue Benutzer feststellen können, die Ihnen nicht bekannt sind – vor allem administrative Konten!
- erzwingen Sie eine vollständige Passwort-Änderung sämtlicher Benutzer-Konten, inkl. Service- und administrativer Konten
- erstellen Sie ein Image Ihres Exchange-Systems für spätere forensische Analysen
- sollten Sie eine Infektion Ihrer Systeme feststellen, deaktivieren Sie Outlook Web Access
- Blockieren Sie den C2-Traffic
- achten Sie besonders auf Anomalien im Netzwerk und laterale Bewegungen
Wir halten Sie über die Entwicklung am Laufenden!
