C&C Traffic durch HAFNIUM Gruppe
Warnung vor aktivem C&C Traffic in Verbindung mit der Exchange Lücke; dringende Sicherheitsmaßnahmen empfohlen.
Erhöhte Vorsicht bei C&C Traffic in Verbindung mit Exchange Lücke
Die derzeit laufende Kampagne der HAFNIUM Grupppe sticht durch die Benutzung folgender Domains aktuell besonders hervor. Die fett markierten konnten wir bereits teilweise bei Kunden feststellen und sind besonders aktiv: p.estonine[.]com
cdn.chatcdn[.]net
nfiuerwtftasnuk[.]com
doverpolice[.]org
sbyod[.]buzz
ghinda[.]net
aapress[.]com
japonismo[.]com
itbusiness[.]hu
ulloi129[.]hu
ombi[.]io
nclcusa[.]org
thehorcrux[.]com
sonicscanf[.]org
onlinecasinos77singapore[.]com
lurkingnet[.]com
aj[.]skt-one[.]com
sy[.]skt-one[.]com
mm[.]skt-one[.]com
ss[.]skt-one[.]com
syy[.]skt-one[.]com
ssy[.]skt-one[.]com
six[.]skt-one[.]com
tmh[.]skt-one[.]com Sollten diese Domains bei Ihnen auffallen, ist eine dringende Überprüfung des Exchange Servers erforderlich! Weiters sind in der Liste hier IP-Adressen zu finden, die ebenfalls im Zusammenhang mit dieser Kampagne auffindbar waren. Benutzen Sie dazu das "WiredPulse/Invoke-HAFNIUMCheck.ps1" Script von Githup bzw. das "Microsoft IoC Detection Tool". Blue Shield Umbrella blockt den C&C Traffic. Sie sollten jedoch unbedingt eine Bereinigung bzw. Update der Exchange Server durchführen.
Updates dazu finden Sie hier:
- Exchange Server 2010 (RU 31 for Service Pack 3)
- Exchange Server 2013 (CU 23)
- Exchange Server 2016 (CU 19, CU 18)
- Exchange Server 2019 (CU 8, CU 7)
Was können Sie noch unternehmen:
- nutzen Sie den Microsoft Safety Scanner um Exchange Server Web-Shells zu finden und zu entfernen
- sannen Sie nach IoC (Indicator of Compromise) mit dem "Microsoft IoC Detection Tool"
- prüfen Sie Ihr Active Directory, ob Sie neue Benutzer feststellen können, die Ihnen nicht bekannt sind - vor allem administrative Konten!
- erzwingen Sie eine vollständige Passwort-Änderung sämtlicher Benutzer-Konten, inkl. Service- und administrativer Konten
- erstellen Sie ein Image Ihres Exchange-Systems für spätere forensische Analysen
- sollten Sie eine Infektion Ihrer Systeme feststellen, deaktivieren Sie Outlook Web Access
- Blockieren Sie den C2-Traffic
- achten Sie besonders auf Anomalien im Netzwerk und laterale Bewegungen
Wir halten Sie über die Entwicklung am Laufenden!
Sie möchten Informationssicherheit und Datenschutz im Unternehmen umsetzen?
Dann sprechen Sie uns gerne unverbindlich an!
Ganzheitliche Sicherheitslösungen – abgestimmt auf Ihr Unternehmen- Verlässlich. Vorausschauend. Kundenorientiert.
Ihr Partner, wenn es um Informationssicherheit und Datenschutz geht
