滥用ProxyLogon漏洞的中国骇客Hafnium，恐参与Hades勒索软件攻击行动

自2020年底开始出没的勒索软件Hades，到底发动相关攻击的骇客身份为何？自3月下旬，已有CrowdStrike和Accenture等2家资安公司提出不同看法，前者认为，Hades与遭到美国起诉的骇客组织Evil Corp有关，后者则表明骇客的身份仍无法确定，有待进一步调查。而3月30日有第3家资安业者提出新的事证，认为Hades与滥用ProxyLogon漏洞的中国骇客组织Hafnium有关，甚至不排除还有其他的骇客同时利用这套勒索软件。

资安业者Awake Security于3月30日指出，他们的事件回应团队曾协助遭到Hades攻击的受害者调查，看到其中一起事故出现Hafnium所使用的网域，再加上攻击过程里找到的特征，符合该组织攻击的入侵指标（IoC），因此Awake认为Hafnium可能参与了此起攻击行动。

Awake进一步说明，上述网域与被入侵的Exchange邮件服务器有关，而这台服务器后来被骇客当作C&C中继站使用，导致接下来发生加密攻击事故。该公司也引用其他资安团队的研究报告指出，这个网域最早被发现的时间点，就是在2020年12月的Hades勒索软件攻击事故，且早于2021年1月微软获报Exchange重大漏洞“ProxyLogon”。不过，Awake提出这些迹象的关连性为何？该公司没有进一步说明，但很有可能指的是滥用Hades勒索软件发动攻击的骇客，在攻击的过程中，同时运用这些当时仍是未知的Exchange漏洞。

不只Hafnium与Hades组织有关，Awake也在一些Hades受害企业中，发现其他攻击行动的迹证。

值得留意的是，使用Hades的骇客也会借由公布受害者资料的方式，来进行双重勒索，但Awake指出，有别于许多骇客组织会架设专属网站公布，Hades背后的骇客组织却是以推特发文为主，账号是@hadesleaks。经过他们的调查，该组织第一篇推文在2020年12月17日出现，同日就被资料外泄网站Hackforums引用。而Awake在推特和Hackforums的资料中发现，骇客使用云端硬盘Mega来存放外泄资料，这点和Accenture的发现可说是相符。