Los ataques contra servidores de Microsoft Exchange potencialmente vulnerables se intensificaron después de que se publicara en línea un código de explotación de prueba de concepto, trasladando los incidentes de APT a las principales actividades de ciberdelincuencia. Puede leer más sobre los antecedentes de HAFNIUM y los dos informes especiales anteriores sobre posibles víctimas de piratería de Exchange Server en las publicaciones de blog recientes aquí (versión previa al parche de HAFNIUM) y aquí (versión posterior al parche de explotación masiva). Este informe especial se basa en un análisis adicional de IPv4 posterior al lanzamiento del parche realizado por KryptosLogic, que también se ha ofrecido a compartir rápidamente sus datos con las víctimas en todo el mundo para obtener el máximo beneficio público.
Los informes especiales de Shadowserver son diferentes a todos los otros informes de red diarios gratuitos estándar. No cubren un período de tiempo específico.
En cambio, se envían informes especiales en situaciones en las que se pueden compartir conjuntos de datos únicos y de alto valor que se creen que deben informarse de manera responsable para obtener el máximo beneficio público. A veces, hay incidentes en los que sería útil poder notificar a las posibles víctimas sobre eventos o infracciones que pueden haberlas afectado fuera del período anterior de 24 horas, por ejemplo, durante eventos de alto perfil como la cadena de suministro de Solarwinds Orion/SUNBURST o HAFNIUM. /Infracciones masivas de Microsoft Exchange Server, en las que los respondedores de incidentes pueden tardar varios días en realizar investigaciones forenses y los datos analizados están disponibles para compartirlos con posibles víctimas. Aunque los eventos incluidos en estos Informes Especiales estarán fuera de la ventana habitual de informes diarios de 24 horas.
Tenga en cuenta que dado que los datos que se pueden compartir durante eventos de informes únicos a veces son diferentes de los conjuntos de datos compartidos de forma estándar, este formato de informe está sujeto a cambios, principalmente mediante la adición de nuevos campos para describir mejor un conjunto de datos en particular.
CAMPOS
| timestamp | Marca de tiempo cuando se vio la IP en UTC+0 |
| ip | IP del dispositivo afectado |
| asn | A partir del dispositivo afectado |
| region | Región del dispositivo afectado |
| city | Ciudad del dispositivo afectado |
| hostname | Nombre de host del dispositivo afectado (puede ser de revDNS) |
| naics | Código del sistema de clasificación de la industria de América del Norte |
| sector | Sector de la PI en cuestión |
| tag | Etiquetas adicionales para obtener más información |
| public_source | Fuente de los datos |
| status | Estado de la IP afectada, por ejemplo, vulnerable o probablemente vulnerable |
| detail | Detalles adicionales sobre el evento |
| account | Cuenta afectada, si la hay |
EJEMPLO
"timestamp","ip","asn","geo","region","city","hostname","naics","sector","tag","public_source","status","detail","account"
"2021-03-12 19:30:00","96.68.x.x",792,"US","TEXAS","SUGAR LAND","96-68.example.net",517311,"Communications, Service Provider, and Hosting Service","exchange","KryptosLogic","compromised","http://96.68.x.x/owa/auth/***EN.aspx",
"2021-03-12 19:30:00","66.225.x.x",261,"CA","ONTARIO","ERIN","example.ca",,,"exchange","KryptosLogic","compromised","http://66.225.x.x/owa/auth/***EN.aspx",
"2021-03-12 19:30:00","199.15.x.x",148,"US","ILLINOIS","CHICAGO","example.com",,,"exchange","KryptosLogic","compromised","http://199.15.x.x/owa/auth/***EN.aspx",
"2021-03-12 19:30:00","223.255.x.x",981,"HK","HONG KONG","HONG KONG",,,,"exchange","KryptosLogic","compromised","http://223.255.x.x/owa/auth/***EN.aspx",