Trong số các quốc gia lưu trữ nhiều cybergang nhất, không thể không nói rằng Trung Quốc đứng cuối cùng trong bảng xếp hạng (APT 25, 30, 41, 41, v.v.). Trong số những người được hưởng lợi từ hỗ trợ cấp nhà nước, chúng tôi nhận thấy Hafnium, công ty chủ yếu là các mục tiêu của Mỹ trong tầm ngắm của họ với mục đích lấy dữ liệu từ các công ty và tổ chức trong các lĩnh vực chiến lược và khác nhau (công nghiệp, quốc phòng, v.v.). Theo Microsoft, Hafnium sẽ được hưởng lợi từ sự hỗ trợ cấp nhà nước cho phép nó hoạt động hiệu quả nhờ vào nguồn lực tài chính, kỹ thuật và nhân lực vững chắc.

Hafnium đang có tin tức hôm nay, Microsoft đã phát hiện ra nhiều vụ khai thác zero-day nhắm mục tiêu vào các phiên bản tại chỗ của máy chủ Exchange. Đặc thù của cuộc tấn công mạng này là tập trung vào một số mục tiêu hạn chế mà không chính thức biết thêm về các nạn nhân tiềm năng. “Trong các cuộc tấn công được quan sát, tác nhân đe dọa đã sử dụng các lỗ hổng này để truy cập vào các máy chủ Exchange tại chỗ cho phép truy cập vào tài khoản email và cài đặt phần mềm độc hại bổ sung để tạo điều kiện truy cập lâu dài vào các môi trường bị hại”, Microsoft giải thích.

Cybergangs khác khi vi phạm

Các lỗ hổng được khai thác bởi Hafnium, cụ thể là CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 và CVE-2021-27065, đều đã nhận được các bản vá lỗi, do đó cần được áp dụng càng sớm càng tốt. Các phiên bản của máy chủ Exchange bị ảnh hưởng là 2013, 2016 và 2019. “Những lỗ hổng này được sử dụng như một phần của chuỗi tấn công. Cuộc tấn công ban đầu yêu cầu khả năng thiết lập kết nối không đáng tin cậy đến cổng 443 của máy chủ Exchange. Chúng tôi có thể tự bảo vệ mình bằng cách hạn chế các kết nối này hoặc bằng cách định cấu hình VPN để tách máy chủ Exchange khỏi truy cập bên ngoài, ”nhà xuất bản cho biết.

Việc Microsoft không đợi Bản vá thứ Ba tới – dù gần đến mấy – để công bố các bản vá này cho thấy tính cấp bách của tình hình. Một tình huống càng trở nên khó khăn hơn khi các cybergang khác sẽ không ngần ngại khởi chạy các hoạt động độc hại của riêng họ, làm lộ ra thêm nhiều công ty chưa cập nhật máy chủ Exchange của họ. Satnam Narang, nhà nghiên cứu an ninh mạng tại Tenable cho biết: “Chúng tôi hy vọng các tác nhân đe dọa khác sẽ bắt đầu khai thác các lỗ hổng này trong những ngày và tuần tới, đó là lý do tại sao các tổ chức sử dụng Exchange Server phải áp dụng các bản vá này ngay lập tức”, Satnam Narang, nhà nghiên cứu an ninh mạng tại Tenable cho biết.