Este informe especial contiene información sobre posibles víctimas de infracciones de HAFNIUM Microsoft Exchange Server. Puede leer más sobre los antecedentes de HAFNIUM y este informe en una publicación de blog aquí .
Los informes especiales de Shadowserver son diferentes a todos los otros informes de red diarios gratuitos estándar. No cubren un período de tiempo específico.
En cambio, se envían informes especiales en situaciones en las que sepueden compartir conjuntos de datos únicos y de alto valor que se cree que deben informarse de manera responsable para obtener el máximo beneficio público. A veces, hay incidentes en los que sería útil poder notificar a las posibles víctimas sobre eventos o infracciones que pueden haberlas afectado fuera del período anterior de 24 horas, por ejemplo, durante eventos de alto perfil como la cadena de suministro de Solarwinds Orion/SUNBURST o HAFNIUM. /Infracciones masivas de Microsoft Exchange Server, en las que los respondedores de incidentes pueden tardar varios días en realizar investigaciones forenses y los datos analizados están disponibles para compartirlos con posibles víctimas.
Tenga en cuenta que los datos compartidos en los informes especiales pueden diferir caso por caso, por lo que los formatos de informe para diferentes informes especiales pueden ser diferentes.
CAMPOS
| timestamp | Marca de tiempo cuando se vio la dirección IP, en UTC+0 |
|---|---|
| ip | IP del dispositivo afectado |
| asn | A partir del dispositivo afectado |
| geo | Región del dispositivo afectado |
| region | Ciudad del dispositivo afectado |
| city | Ciudad del dispositivo afectado |
| hostname | Nombre de host del dispositivo afectado (puede ser de revDNS) |
| naics | Código del sistema de clasificación de la industria de América del Norte |
| sector | Sector de la PI en cuestión |
| tag | Etiquetas adicionales para obtener más información |
| public_source | Fuente de los datos |
| status | Estado de la IP afectada, por ejemplo, comprometida o probablemente comprometida |
| detail | Detalles adicionales sobre el evento |
| account | Cuenta afectada, si la hay |
EJEMPLO
"timestamp","ip","asn","geo","region","city","hostname","naics","sector","tag","public_source","status","detail","account"
"2021-02-26 00:00:00","64.186.x.x",220,"US","ALASKA","KAKE","186-64.example.net",517919,,"hafnium;exchange",,"likely compromised",,
"2021-02-26 00:00:00","204.124.x.x",4620,"US","NEVADA","LAS VEGAS",,541519,,"hafnium;exchange",,"likely compromised",,
"2021-02-26 00:00:00","50.224.x.x",922,"US","WASHINGTON","PUYALLUP","example.com",517311,"Communications, Service Provider, and Hosting Service","hafnium;exchange",,"compromised","https://50.224.x.x/aspnet_client/system_web/7****.aspx","administrator@example.com"
"2021-02-26 00:00:00","96.10.x.x",1146,"US","NORTH CAROLINA","WILSON","example.org",517311,"Communications, Service Provider, and Hosting Service","hafnium;exchange",,"likely compromised",,
"2021-02-26 00:00:00","47.44.x.x",2115,"US","TEXAS","GLEN ROSE","047-044.example.com",517311,"Communications, Service Provider, and Hosting Service","hafnium;exchange",,"likely compromised",,
Fuente: https://www.shadowserver.org/what-we-do/network-reporting/hafnium-exchange-victim-special-report/