به گزارش کارگروه بینالملل سایبربان؛ مایکروسافت تعدادی آسیبپذیریهای صفر روز را شناسایی کرد که برای حمله به نسخههای موجود در سرور «Exchange» مایکروسافت در حملات محدود و هدفمند استفاده میشوند.
این آسیبپذیریها عبارتند از :
«CVE-2021-26855»، «CVE-2021-26857»، «CVE-2021-26858» و «CVE-2021-27065».
در حملات مشاهده شده، عامل تهدید از آسیبپذیریها برای دسترسی به سرورهای Exchange استفاده کرد که با فعال کردن دسترسی به حسابهای ایمیل، امکان نصب نرمافزارهای مخرب اضافی را برای تسهیل دسترسی طولانی مدت به محیطهای قربانی فراهم میکند. مرکز اطلاعات تهدید مایکروسافت (Mstic)، با اعتماد بالا این کمپین را به هافنیوم (HAFNIUM)، گروه هکرهای چینی، نسبت میدهد.
هافنیوم، عمدتاً نهادهای آمریکایی را در بخشهای مختلف صنعت از جمله محققان بیماریهای عفونی، شرکتهای حقوقی، مؤسسات آموزش عالی، پیمانکاران دفاعی، متخصصان سیاسی و سازمانهای غیر دولتی هدف قرار میدهد. این گروه هکری قبلاً با بهرهگیری از آسیبپذیریهای سرورهای اینترنتی به قربانیان حمله و از چارچوبهای مشروع منبع باز مانند «Covenant»، برای فرماندهی و کنترل استفاده میکرده است. هافنیوم پس از دسترسی به یک شبکه قربانی، به طور معمول دادهها را به سایتهای به اشتراکگذاری فایلهایی مانند مگا (MEGA) منتقل میکند.
در کمپینهای مرتبط با این آسیبپذیریها، مایکروسافت ادعا کرد که هافنیوم سعی در نفوذ به کاربران «Office 365» داشته است. هافنیوم عمدتاً از سرورهای خصوصی مجازی (VPS) در ایالات متحده فعالیت میکند.
