APP下载

滥用ProxyLogon漏洞的中国骇客Hafnium,恐参与Hades勒索软件攻击行动

消息来源:baojiabao.com 作者: 发布时间:2026-02-19

报价宝综合消息滥用ProxyLogon漏洞的中国骇客Hafnium,恐参与Hades勒索软件攻击行动
图片来源: 

Awake Security

自2020年底开始出没的勒索软件Hades,到底发动相关攻击的骇客身份为何?自3月下旬,已有CrowdStrike和Accenture等2家资安公司提出不同看法,前者认为,Hades与遭到美国起诉的骇客组织Evil Corp有关,后者则表明骇客的身份仍无法确定,有待进一步调查。而3月30日有第3家资安业者提出新的事证,认为Hades与滥用ProxyLogon漏洞的中国骇客组织Hafnium有关,甚至不排除还有其他的骇客同时利用这套勒索软件。

资安业者Awake Security于3月30日指出,他们的事件回应团队曾协助遭到Hades攻击的受害者调查,看到其中一起事故出现Hafnium所使用的网域,再加上攻击过程里找到的特征,符合该组织攻击的入侵指标(IoC),因此Awake认为Hafnium可能参与了此起攻击行动。

Awake进一步说明,上述网域与被入侵的Exchange邮件服务器有关,而这台服务器后来被骇客当作C&C中继站使用,导致接下来发生加密攻击事故。该公司也引用其他资安团队的研究报告指出,这个网域最早被发现的时间点,就是在2020年12月的Hades勒索软件攻击事故,且早于2021年1月微软获报Exchange重大漏洞“ProxyLogon”。不过,Awake提出这些迹象的关连性为何?该公司没有进一步说明,但很有可能指的是滥用Hades勒索软件发动攻击的骇客,在攻击的过程中,同时运用这些当时仍是未知的Exchange漏洞。

不只Hafnium与Hades组织有关,Awake也在一些Hades受害企业中,发现其他攻击行动的迹证。

值得留意的是,使用Hades的骇客也会借由公布受害者资料的方式,来进行双重勒索,但Awake指出,有别于许多骇客组织会架设专属网站公布,Hades背后的骇客组织却是以推特发文为主,账号是@hadesleaks。经过他们的调查,该组织第一篇推文在2020年12月17日出现,同日就被资料外泄网站Hackforums引用。而Awake在推特和Hackforums的资料中发现,骇客使用云端硬盘Mega来存放外泄资料,这点和Accenture的发现可说是相符。

 

 

2021-04-01 04:13:00

相关文章