TT Malware Log

マルウェア / サイバー攻撃 / 解析技術 に関する「個人」の調査・研究・参照ログ

Hafnium / ハフニウム (まとめ)

【目次】

概要

【概要】
項目 内容
ターゲットシステム Exchange Server
攻撃者 Hafnium (中国)
被害組織 少なくとも3万組織, 6万組織という情報も
日本での被害 確認されていない


■使用脆弱性 (ProxyLogon)

CVE番号
NVD
備考
CVE-2021-26855 CVE-2021-26855 Detail Microsoft Exchange Server のリモートでコードが実行される脆弱性
CVE-2021-26857 CVE-2021-26857 Detail Microsoft Exchange Server のリモートでコードが実行される脆弱性
CVE-2021-26858 CVE-2021-26858 Detail Microsoft Exchange Server のリモートでコードが実行される脆弱性
CVE-2021-27065 CVE-2021-27065 Detail Microsoft Exchange Server のリモートでコードが実行される脆弱性


■攻撃手法

  1. パスワード / ゼロデイ脆弱性を利用し、Exchange Serverへのアクセス権を持つ担当者になりすます
  2. バックドアを作成
  3. 仮想プライベートサーバー(米国)を介したリモートアクセスによって、標的のネットワークからデータを盗み出す


【最新情報】

◆「Log4j」脆弱性、中国や北朝鮮発の悪用をMicrosoftが確認 (ITmedia, 2021/12/16 07:29)
https://www.itmedia.co.jp/news/articles/2112/16/news065.html
https://malware-log.hatenablog.com/entry/2021/12/16/000000

記事

【ニュース】

■2021年

◇2021年3月

□2021年03月03日

◆Microsoftが「中国政府系ハッカーによるExchange Serverの脆弱性を利用した新たな攻撃」について報告 (Gigazine, 2021/03/03 11:40)
https://gigazine.net/news/20210303-chinese-cyberspies-exchange-server-flaws/
https://malware-log.hatenablog.com/entry/2021/03/03/000000


□2021年03月04日

◆Microsoft Exchange Serverに複数の脆弱性、4件の悪用を確認 (マイナビニュース, 2021/03/04 08:57)
https://news.mynavi.jp/article/20210304-1767789/
https://malware-log.hatenablog.com/entry/2021/03/04/000000_5

◆中国の国家ハッカーがExchange Serverの脆弱性をゼロデイ攻撃、マイクロソフトが警告 (TechCrunch, 2021/03/04)
https://jp.techcrunch.com/2021/03/04/2021-03-02-microsoft-says-china-backed-hackers-are-exploiting-exchange-zero-days/
https://malware-log.hatenablog.com/entry/2021/03/04/000000_1

◆更新:Microsoft Exchange Server の脆弱性対策について(CVE-2021-26855等) (IPA, 2021/03/04)
https://www.ipa.go.jp/security/ciadr/vul/20210303-ms.html
https://malware-log.hatenablog.com/entry/2021/03/04/000000_2


□2021年03月06日

◆マイクロソフトのメール狙った攻撃で「被害多数」、米政府が懸念 (ロイター, 2021/03/06 07:15)
https://jp.reuters.com/article/usa-cyber-microsoft-idJPKCN2AX2J1
https://malware-log.hatenablog.com/entry/2021/03/06/000000_2

◆米3万組織に攻撃、中国系ハッカーか Microsoft標的 (日経新聞, 2021/03/06 19:40)
https://www.nikkei.com/article/DGXZQOGN062GA0W1A300C2000000/
https://malware-log.hatenablog.com/entry/2021/03/06/000000_1

□2021年03月08日

◆サイバー攻撃、国内被害なし 加藤官房長官 (時事通信, 2021/03/08 15:00)
https://www.jiji.com/jc/article?k=2021030800666
https://malware-log.hatenablog.com/entry/2021/03/08/000000_4

◆中国によるサイバー攻撃で政府が緊急指令を発令、すでに3万以上の組織がハッキングされているとの指摘も (Gigazine, 2021/03/08 11:31)
https://gigazine.net/news/20210308-microsoft-exchange-server-hafnium-proxylogon/
https://malware-log.hatenablog.com/entry/2021/03/08/000000_6


□2021年03月09日

◆Exchange Server の脆弱性悪用、マイクロソフトが新たな国家支援型サイバー攻撃を解説 (NetSecurity, 2021/03/09 08:05)
https://scan.netsecurity.ne.jp/article/2021/03/09/45306.html
https://malware-log.hatenablog.com/entry/2021/03/09/000000_9

◆MicrosoftのExchange Server脆弱性が発覚してからの攻撃&対処のタイムラインはこんな感じ (Gigazine, 2021/03/09 12:35)
https://gigazine.net/news/20210309-attacks-on-exchange-servers/
https://malware-log.hatenablog.com/entry/2021/03/09/000000_7

◆マイクロソフト、「Exchange Server」の脆弱性に関連する侵入の痕跡を確認するスクリプト公開 (ZDNet, 2021/03/09 12:37)
https://japan.zdnet.com/article/35167526/
https://malware-log.hatenablog.com/entry/2021/03/09/000000_6


□2021年03月15日

◆Microsoft、サポート対象外Exchange Serverへ例外的にアップデート提供開始 (マイナビニュース, 2021/03/09 15:12)
https://news.mynavi.jp/article/20210309-1792223/
https://malware-log.hatenablog.com/entry/2021/03/09/000000_4


◇2021年7月

◆日本・アメリカ・EU・イギリスなど世界各国が中国をMicrosoft Exchange Serverへの大規模ハッキングの一件で公式非難 (Gigazine, 2021/07/20 11:30)
https://gigazine.net/news/20210720-us-allies-say-china-hacked-microsoft-exchange/
https://malware-log.hatenablog.com/entry/2021/07/20/000000_6

◆中国がマイクロソフトへのサイバー攻撃に関与か 日米欧など非難 (BBC, 2021/07/20)
https://www.bbc.com/japanese/57897450
https://malware-log.hatenablog.com/entry/2021/07/20/000000_18


◇2021年12月

◆「Log4j」脆弱性、中国や北朝鮮発の悪用をMicrosoftが確認 (ITmedia, 2021/12/16 07:29)
https://www.itmedia.co.jp/news/articles/2112/16/news065.html
https://malware-log.hatenablog.com/entry/2021/12/16/000000

【ブログ】

◆HAFNIUM targeting Exchange Servers with 0-day exploits (Microsoft, 2021/03/02)
microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/
https://malware-log.hatenablog.com/entry/2021/03/02/000000_2

◆国家支援型サイバー攻撃 (Microsoft, 2021/03/05)
https://news.microsoft.com/ja-jp/2021/03/05/210305-new-nation-state-cyberattacks/
https://malware-log.hatenablog.com/entry/2021/03/05/000000_9

◆HAFNIUM(ハフニウム): 新たな国家支援型サイバー攻撃への対応について (Sophos, 2021/03/10)
https://news.sophos.com/ja-jp/2021/03/10/hafnium-advice-about-the-new-nation-state-attack-jp/
https://malware-log.hatenablog.com/entry/2021/03/10/000000_10

【公開情報】

■2021年

◇2021年3月

□2021年03月03日

◆CISA ISSUES EMERGENCY DIRECTIVE REQUIRING FEDERAL AGENCIES TO PATCH CRITICAL VULNERABILITY (CISA, 2021/03/03)
[CISA、連邦政府機関に重大な脆弱性をパッチすることを要求する緊急指令を発行]
https://www.cisa.gov/news/2021/03/02/cisa-issues-ed-requiring-federal-agencies-patch-critical-vulnerability
https://malware-log.hatenablog.com/entry/2021/03/03/000000_4

【関連情報】

◆Exchange Server (まとめ)
https://vul.hatenadiary.com/entry/Exchange_Server

◆ProxyLogon (まとめ)
https://vul.hatenadiary.com/entry/ProxyLogon

関連情報

【関連まとめ記事】

全体まとめ
 ◆攻撃組織 / Actor (まとめ)

◆標的型攻撃組織 / APT (まとめ)
https://malware-log.hatenablog.com/entry/APT


Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 1997 - 2022