Государственные хакеры взламывают оборонные, энергетические и медицинские организации по всему миру

25
ФБР предупреждает о фишинге, нацеленном на клиентов известных брендов

Фирма по кибербезопасности Palo Alto Networks предупредила на выходных о продолжающейся хакерской кампании, которая уже привела к компрометации как минимум девяти организаций по всему миру из критических секторов, включая оборону, здравоохранение, энергетику, технологии и образование.

Чтобы взломать сети организаций, злоумышленники, стоящие за этой кампанией кибершпионажа, использовали критическую уязвимость ( CVE-2021-40539 ) в корпоративном решении Zoho для управления паролями, известном как ManageEngine ADSelfService Plus, которое позволяет удаленно выполнять код в незащищенных системах без аутентификации.

Атаки, обнаруженные исследователями Palo Alto Networks, начались 17 сентября со сканирования уязвимых серверов, через девять дней после того, как Агентство по кибербезопасности и безопасности инфраструктуры США (CISA) предупредило об обнаружении эксплойтов, используемых в дикой природе, и через день после того, как CISA опубликовала совместное сообщение. , ФБР и киберкомандование береговой охраны США (CGCYBER).

Попытки эксплуатации начались 22 сентября после пяти дней сбора информации о потенциальных целях, которые еще не установили исправления для своих систем.

«Хотя нам не хватает информации обо всех организациях, которые использовались в ходе этой кампании, мы считаем, что в глобальном масштабе было скомпрометировано как минимум девять организаций в сфере технологий, обороны, здравоохранения, энергетики и образования», — заявили исследователи.

«Мы полагаем, что с помощью глобальной телеметрии злоумышленник атаковал не менее 370 серверов Zoho ManageEngine в одних только Соединенных Штатах. Учитывая масштаб, мы оцениваем, что это сканирование носило в основном неизбирательный характер, поскольку цели варьировались от образования до организаций Министерства обороны».

Следуя совместным рекомендациям, исследователи наблюдали еще одну серию несвязанных атак, которые не смогли скомпрометировать их цели, намекая на другие поддерживаемые государством или финансово мотивированные хакерские группы, которые, вероятно, присоединятся к компаниям, использующим серверы Zoho.

Цели по учетным данным, настойчивость

После успешного закрепления в системах своих жертв с помощью эксплойтов CVE-2021-40539 злоумышленники сначала развернули вредоносную программу-дроппер, которая доставляла веб-оболочки Godzilla на скомпрометированные серверы для получения и поддержания доступа к сетям жертв, а также к вредоносным программам. включая бэкдор с открытым исходным кодом, известный как NGLite.

Они также использовали KdcSponge, вредоносное ПО, известное как захват учетных данных, которое подключается к функциям Windows LSASS API для захвата учетных данных (то есть доменных имен, имен пользователей и паролей), которые позже отправляются на серверы, контролируемые злоумышленником.

«После получения доступа к начальному серверу участники сосредоточили свои усилия на сборе и удалении конфиденциальной информации с локальных контроллеров домена, такой как файл базы данных Active Directory (ntds.dit) и куст SYSTEM из реестра», — обнаружили исследователи.

«В конечном итоге актер был заинтересован в краже учетных данных, поддержании доступа и сборе конфиденциальных файлов из сетей жертв для кражи».

Атаки, связанные с китайскими государственными хакерами APT27

Несмотря на то, что исследователи работают над приписыванием этих атак конкретной хакерской группе, они подозревают, что это работа спонсируемой Китаем группы угроз, известной как APT27 (также отслеживаемой как TG-3390, Emissary Panda, BRONZE UNION, Iron Tiger, и LuckyMouse).

Частичная атрибуция основана на вредоносных инструментах и ​​тактике, используемых в этой кампании, которые соответствуют предыдущей деятельности APT27 как хакерской группы, действующей по крайней мере с 2010 года и нацеленной на тот же диапазон секторов промышленности (например, оборону, технологии, энергетику, аэрокосмическую промышленность, правительство и т. Д.). производство) в кампаниях кибершпионажа.

Отчет Palo Alto Networks также включает анализ, проведенный партнерами правительства США, включая Центр сотрудничества по кибербезопасности АНБ, компонент, предназначенный для предотвращения и блокирования киберугроз из-за рубежа системам национальной безопасности (NSS), Министерству обороны и Промышленной базе обороны (DIB). с помощью партнеров из частного сектора.

В начале марта APT27 также был связан с атаками, использующими критические ошибки (получившие название ProxyLogon) для обеспечения удаленного выполнения кода без аутентификации на локальных серверах Microsoft Exchange без исправлений по всему миру.

США и их союзники, включая Европейский союз, Великобританию и НАТО, в июне официально обвинили Китай в широко распространенной в этом году хакерской кампании по взлому Microsoft Exchange.

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here