*Especialistas detalham código malicioso eliminado usando o exploit ManageEngine ADSelfService

Pelo menos nove entidades nos setores de tecnologia, defesa, saúde, energia e educação foram comprometidas com o aproveitamento de uma vulnerabilidade crítica corrigida recentemente na solução de gerenciamento de senha de autoatendimento e logon único (SSO) ManageEngine ADSelfService Plus da Zoho.

A campanha de espionagem, observada a partir de 22 de setembro de 2021, envolveu o ator da ameaça aproveitando a falha para obter acesso inicial às organizações visadas, antes de se mover lateralmente através da rede para realizar atividades pós-exploração, implantando ferramentas maliciosas projetadas para colher credenciais e exfiltrar informações confidenciais por meio de um backdoor.

"O ator depende muito do shell da web Godzilla, enviando várias variações do shell da web de código aberto para o servidor comprometido durante o curso da operação", disseram pesquisadores da equipe de inteligência de ameaças da Unidade 42 da Palo Alto Networks em um relatório. "Várias outras ferramentas têm características novas ou não foram discutidas publicamente como sendo usadas em ataques anteriores, especificamente o backdoor NGLite e o ladrão KdcSponge."

Rastreada como CVE-2021-40539 , a vulnerabilidade está relacionada a uma vulnerabilidade de desvio de autenticação que afeta URLs de API REST que podem permitir a execução remota de código, solicitando que a Agência de Segurança de Infraestrutura e Cibersegurança dos EUA (CISA) avise sobre tentativas de exploração ativa. A falha de segurança foi avaliada em 9,8 de 10 em gravidade.

Ataques no mundo real como arma do bug teriam começado já em agosto de 2021, de acordo com a CISA, o Federal Bureau of Investigation (FBI) dos EUA e o Coast Guard Cyber ​​Command (CGCYBER).

A investigação da Unidade 42 sobre a campanha de ataque descobriu que a exploração inicial bem-sucedida foi seguida pela instalação de um shell da web JSP em chinês chamado " Godzilla ", com vítimas selecionadas também infectadas com um Trojan de código aberto baseado em Golang personalizado chamado " NGLite ".

"O NGLite é caracterizado por seu autor como um 'programa de controle remoto de plataforma cruzada anônimo baseado na tecnologia de blockchain'", explicaram os pesquisadores Robert Falcone, Jeff White e Peter Renals. "Ele aproveita a infraestrutura do Novo Tipo de Rede ( NKN ) para suas comunicações de comando e controle (C2), o que teoricamente resulta em anonimato para seus usuários."

Nas etapas subsequentes, o conjunto de ferramentas permitiu que o invasor executasse comandos e se movesse lateralmente para outros sistemas na rede, enquanto transmitia simultaneamente os arquivos de interesse. Também implantado na cadeia de eliminação está um novo ladrão de senhas apelidado de "KdcSponge" orquestrado para roubar credenciais de controladores de domínio.

Em última análise, acredita-se que o adversário alvejou pelo menos 370 servidores Zoho ManageEngine apenas nos EUA a partir de 17 de setembro. Embora a identidade do ator da ameaça permaneça obscura, a Unidade 42 disse que observou correlações em táticas e ferramentas entre o atacante e o Emissário Panda (também conhecido como APT27, TG-3390, BRONZE UNION, Iron Tiger ou LuckyMouse).

"As organizações que identificam qualquer atividade relacionada aos indicadores de comprometimento do ManageEngine ADSelfService Plus em suas redes devem agir imediatamente", disse a CISA , além de recomendar "redefinições de senha em todo o domínio e redefinições de senha duplas do Kerberos Ticket Granting Ticket (TGT) se houver alguma indicação foi descoberto que o arquivo ' NTDS.dit ' foi comprometido. "

 

Achou esse artigo interessante? Siga canalfsociety em Instagram, Facebook, Telegram, Twitter, App Boletim Tec e App Mr Robot Sticker para ler mais conteúdo exclusivo que postamos.

Post a Comment