Siber Güvenlik Firması Palo Alto Ağları, Savunma, Sağlık, Enerji, Teknoloji ve Eğitim de dahil olmak üzere kritik sektörlerden dünya çapında en az dokuz kuruluşun uzlaşmasıyla sonuçlanan devam eden bir hack kampanyası haftasonu uyardı.
Orgs ağlarını ihlal etmek için, bu CyberSpionage kampanyasının arkasındaki tehdit aktörleri, Zoho'nun Kurumsal Şifre Yönetimi Çözümünde, Gecikmiş Sistemler Olarak Kodu Olarak Kodu Olarak Doğrulanmamış Sistemler Üzerine Doğrulanmadı Yönetimi Olmayan Kurumsal Şifre Yönetimi Çözümünde, Kritik Bir Güvenlik Açığı'nı (CVE-2021-40539) sömürdü.
Palo Alto Networks Araştırmacıları tarafından gözlenen saldırılar 17 Eylül'de savunmasız sunucular için taramalarla başladı, ABD Siber Güvenliği ve Altyapı Güvenlik Ajansı'ndan (CISA), vahşi ve bir gün CISA tarafından yayınlandıktan bir gün sonra kullanılan istismarları tespit etti. , FBI ve Amerika Birleşik Devletleri Sahil Güvenlik Komutanlığı (CGCYBER).
İstifleme girişimleri, 22 Eylül'de, henüz sistemlerini yamalayan potansiyel hedefler hakkında beş gün hasat bilgisi üzerinde başladı.
Araştırmacılar, "Bu kampanya sırasında sömürülen kuruluşların toplamlığına ilişkin içgörü yokken, dünya çapında, Savunma, Sağlık, Enerji ve Eğitim Endüstrileri genelinde en az dokuz kişinin tehlikeye girdiğine inanıyoruz" dedi.
"Küresel telemetri sayesinde, aktörün yalnızca Amerika Birleşik Devletleri'nde en az 370 Zoho ManageEngine sunucularını hedeflediğine inanıyoruz. Ölçek göz önüne alındığında, bu taramaların, eğitimden Savunma İşletmeleri Bölümüne kadar uzanan hedefler olarak doğada büyük ölçüde ayrım yaptığını değerlendiriyoruz."
Ortak danışmanlığın ardından, araştırmacılar, hedeflerini ödün vermeyen, diğer devlet destekli veya finansal olarak motive olmuş hack grupları, Zoho sunucularını kullanarak şirketlere katılan diğer devlet destekli veya finansal motive olmuş hack gruplarına işaret eden başka bir ilgisiz saldırı serisini gözlemledi.
Şu anda, Palo Alto ağlarının taramalarına göre, savunmasız Zoho yazılımını çalıştıran 11.000'in üzerinde internet açığa çıkan sunucu var - şu anda bu sistemlerin kaçının yamalandığı bilinmiyor.
CVE-2021-40539 istismarlarını kullanarak kurbanlarının sistemlerinde başarılı bir şekilde başladıktan sonra, tehdit aktörleri ilk önce, mağdurların ağlarına ve kötü amaçlı yazılımlara erişimini sağlamak ve korumak için Godzilla web kabukları sağlayan bir kötü amaçlı yazılım damlalıkları dağıttı. Nglite olarak bilinen açık kaynaklı bir arka kapı dahil.
Ayrıca, kimlik bilgisi olarak bilinen kötü amaçlı yazılımlar, Windows LSASS API'sine bağlanan kimlik bilgilerini (yani, etki alanı adları, kullanıcı adları ve şifreler) yakalamada, saldırgan kontrollü sunuculara gönderilen kimlik bilgileri (yani, etki alanı adları, kullanıcı adları ve şifreleri) yakalayacak şekilde kullanılır.
"İlk sunucuya erişim kazandıktan sonra, aktörler, Active Directory veritabanı dosyası (NTDS.DIT) ve sistem kovanından kayıt defterinden gelen yerel etki alanı denetleyicilerinden ve kayıt defterindeki sistem kovanından gelen hassas bilgileri toplama ve ekstrüzyon yapma çabalarını odakladı.
"Sonuçta, aktör kimlik bilgilerini çalmakla ilgileniyordu, erişimin korunması ve exfiltration için mağdur ağlarından hassas dosyaları toplama."
Araştırmacılar bu saldırıları belirli bir hackleme grubuna atfedersek, bunun APT27 olarak bilinen Çin sponsorlu bir tehdit grubunun çalışması olduğundan şüpheleniyorlar (ayrıca TG-3390, Emissary Panda, Bronz Union, Demir Kaplanı, ve şanssız).
Kısmi öznitelik, bu kampanyada, Apt27'nin önceki faaliyetlerinde en az 2010'dan bu yana aktif bir hack grubu olarak eşleşen ve aynı sanayi sektörlerini hedef alan (örneğin, savunma, teknoloji, enerji, havacılık, hükümet ve Siber casusluk kampanyalarında imalat).
Palo Alto Ağları Raporu, NSA'nın Siber Güvenlik İşbirliği Merkezi, Yabancı Siber Tehditlerini Ulusal Güvenlik Sistemlerine (NSS), Savunma Bakanlığı ve Savunma Endüstrisi Taban (DIB) Özel endüstri ortaklarının yardımıyla.
Mart ayının başlarında, APT27, dünya çapında açılmamış şirket içi Microsoft Exchange sunucuları üzerinde kimlik doğrulaması olmadan uzak kod yürütülmesini sağlamak için kritik hataları (Dubbed Proxylogon) sömüren saldırılarla da bağlandı.
ABD ve Müttefikler, Avrupa Birliği, Birleşik Krallık ve NATO dahil, bu yılın yaygın Microsoft Exchange Hack Kampanyası için Haziran ayında Çin'i suçladı.
Microsoft: İran bağlantılı bilgisayar korsanları ABD Savunma Teknoloji Şirketlerini hedefleyin
ABD Çin TELECOM'u Ulusal Güvenlik Riskleri Üzerinden Yaydırıyor
Rusya ve Çin Küresel Anti-Ransomware Toplantılarından ayrıldı
Ghostemperor Hackerlar, saldırılarda yeni Windows 10 rootkit kullanıyor
ABD, Ransomware liderlerinin liderleri için 10 milyon dolarlık ödül sunuyor
Kaynak: Bleeping Computer