ransomware

Kritikus szektorokat vettek célba a kiberbűnözők, ezt a sérülékenységet használják ki

 

A Palo Alto szakértői egy folyamatban lévő hackerkampányra figyelmeztetnek, amely a CVE-2021-40539 kihasználásával már több kritikus ágazatokból származó szervezetet veszélyeztetett, többek között a technológiai, védelmi, egészségügyi, energetikai és oktatási szektorokban.

A sebezhetőség a Zoho ManageEngine ADSelfService Plus REST API URL-jeiben található, amely egy önkiszolgáló jelszókezelő és egyszeri bejelentkezési megoldás, kihasználása pedig távoli kódfuttatáshoz (RCE) vezethet. A szakértők egy sor egymástól független támadást is megfigyeltek, amelyek azonban nem bizonyultak veszélyesnek, a támadásokat különálló fenyegető szereplőknek tulajdonították. A kutatók szeptember 17-én, néhány nappal a CISA, az FBI és a CGCYBER által közzétett közös riasztás után kezdték el megfigyelni a sebezhető szervereket. Az első kihasználási kísérletek szeptember 22-én kezdődtek és október elején folytatódtak. A Palo Alto Networks globális telemetriájának elemzése során kiderült, hogy a támadók csak az Egyesült Államokban legalább 370 Zoho ManageEngine szervert vettek célba. Miután a célrendszereket feltörték, a kiberbűnözők Godzilla web shell-ek segítségével perzisztens hozzáférést szereztek, majd egy nyílt forráskódú, Go nyelven írt, NGLite nevű backdoor egyedi változatát és egy KdcSponge nevű, hitelesítő adatokat begyűjtő eszközt is bevetettek. Később a célhálózaton belül a helyi tartományvezérlőkből érzékeny információk – például az Active Directory adatbázisfájl (ntds.dit) és a SYSTEM Hive a registry adatainak – kiszivárogtatása volt a céljuk.

A szakértők egyelőre nem tudják konkrét csoporthoz kötni az eseményeket, de megfigyeltek némi hasonlóságot a 3390-es csoporttal (TG-3390, Emissary Panda, APT27, Bronze Union és Lucky Mouse). Az APT 2010 óta aktív és olyan szervezeteket vett célba, mint amerikai védelmi vállalkozók, pénzügyi szolgáltató cégek és egy közép ázsiai nemzeti adatközpont, valamint részt vettek az új generációs fegyverekre irányuló kibertámadási kampányokban is. Rendszerint könnyen elérhető eszközöket és egyedi kártevőket is felhasználnak műveleteik során. A legutóbb indított támadássorozat 2020-ban zajlott, és több szerencsejáték vállalatot célzott meg.

(securityaffairs.co)