新的民族国家网络攻击

今天，我们正在共享有关由Microsoft威胁情报中心（MSTIC）识别为国家赞助的威胁参与者的信息，我们将其称为Hafnium。 from在中国运营，这是我们第一次讨论其活动。这是一个技术娴熟，经验丰富的演员。

从历史上看，Ha主要是针对美国的实体，目的是从许多行业部门中窃取信息，包括传染病研究人员，律师事务所，高等教育机构，国防承包商，政策智囊团和非政府组织。 Hafnium总部位于中国，但其业务主要通过美国的租赁虚拟专用服务器（VPS）进行。

最近，Hafnium使用针对本地Exchange Server软件的以前未知的漏洞进行了许多攻击。迄今为止，Ha是我们看到的利用这些漏洞的主要参与者，MSTIC在此处对此进行了详细讨论。攻击包括三个步骤。首先，它将使用被盗的密码或使用以前未发现的漏洞将自己伪装成应该具有访问权限的人，从而获得对Exchange Server的访问权限。其次，它将创建一个所谓的网络外壳程序，以远程控制受感染的服务器。第三，它将使用从美国专用服务器运行的远程访问来窃取组织网络中的数据。

我们专注于保护客户免受用于进行这些攻击的攻击。今天，我们发布了安全更新，将保护运行Exchange Server的客户。我们强烈建议所有Exchange Server客户立即应用这些更新。 Exchange Server主要供商业客户使用，我们没有证据表明Hafnium的活动针对的是个人消费者，或者这些利用影响了其他Microsoft产品。

即使我们已经为部署针对f的漏洞进行了迅速的工作，但我们知道许多民族国家行为者和犯罪集团将迅速采取行动，以利用任何未打补丁的系统。及时应用当今的补丁是抵御这种攻击的最佳保护。

除了为我们的客户提供新的保护措施之外，我们还向相应的美国政府机构介绍了此活动。

这是过去12个月中微软第八次公开披露针对民间社会至关重要的机构的民族组织。我们披露的其他活动针对的是针对Covid-19的医疗保健组织，参与2020年选举的政治运动和其他活动，以及主要决策会议的知名人士。

我们感到鼓舞的是，许多组织正在与世界，彼此之间以及与致力于防御的政府机构自愿共享数据。 我们感谢Volexity和Dubex的研究人员，他们将这种新的activity活动通知了我们，并与我们合作以负责任的方式予以解决。 我们需要迅速共享有关网络攻击的更多信息，以使我们所有人都能更好地防御网络攻击。 这就是为什么微软总裁布拉德·史密斯（Brad Smith）最近告诉美国国会，我们必须采取步骤要求举报网络事件的原因。 我们今天讨论的漏洞与绝非单独的与SolarWinds相关的攻击有关。 我们继续看不到有证据表明SolarWinds背后的参与者发现或利用了Microsoft产品和服务中的任何漏洞。