Die derzeit laufende Kampagne der HAFNIUM Grupppe sticht durch die Benutzung folgender Domains aktuell besonders hervor.
Die fett markierten konnten wir bereits teilweise bei Kunden feststellen und sind besonders aktiv:
p.estonine[.]com cdn.chatcdn[.]net nfiuerwtftasnuk[.]com doverpolice[.]org sbyod[.]buzz ghinda[.]net aapress[.]com japonismo[.]com itbusiness[.]hu ulloi129[.]hu ombi[.]io nclcusa[.]org thehorcrux[.]com sonicscanf[.]org onlinecasinos77singapore[.]com lurkingnet[.]com aj[.]skt-one[.]com sy[.]skt-one[.]com mm[.]skt-one[.]com ss[.]skt-one[.]com syy[.]skt-one[.]com ssy[.]skt-one[.]com six[.]skt-one[.]com tmh[.]skt-one[.]com
Sollten diese Domains bei Ihnen auffallen, ist eine dringende Überprüfung des Exchange Servers erforderlich!
Weiters sind in der Liste hier IP-Adressen zu finden, die ebenfalls im Zusammenhang mit dieser Kampagne auffindbar waren.
Benutzen Sie dazu das “WiredPulse/Invoke-HAFNIUMCheck.ps1” Script von Githup bzw. das “Microsoft IoC Detection Tool”.
Blue Shield Umbrella blockt den C&C Traffic. Sie sollten jedoch unbedingt eine Bereinigung bzw. Update der Exchange Server durchführen.
Wir halten Sie über die Entwicklung am Laufenden!