Η εταιρεία κυβερνοασφάλειας Palo Alto Networks προειδοποίησε το Σαββατοκύριακο για μια εκστρατεία κυβερνοκατασκοπείας που έχει ήδη στοχεύσει τουλάχιστον εννέα οργανισμούς (παγκοσμίως) που ανήκουν σε κρίσιμους τομείς, όπως η άμυνα, η υγειονομική περίθαλψη, η ενέργεια, η τεχνολογία και η εκπαίδευση.
Σύμφωνα με τους ερευνητές, οι επιτιθέμενοι πίσω από αυτήν την εκστρατεία κυβερνοκατασκοπείας, παραβίασαν τους οργανισμούς χρησιμοποιώντας μια κρίσιμη ευπάθεια (CVE-2021-40539) στο ManageEngine ADSelfService Plus της Zoho, που επιτρέπει την απομακρυσμένη εκτέλεση κώδικα σε μη ενημερωμένα συστήματα.
Δείτε επίσης: Phishing εκστρατεία χρησιμοποίησε την Proofpoint για να εξαπατήσει χρήστες
Οι επιθέσεις που παρατηρήθηκαν από τους ερευνητές, ξεκίνησαν στα μέσα Σεπτεμβρίου με σαρώσεις για ευάλωτους servers, μερικές ημέρες αφότου η CISA προειδοποίησε για exploits που χρησιμοποιούνται από εγκληματίες.
Οι προσπάθειες εκμετάλλευσης ξεκίνησαν στις 22 Σεπτεμβρίου μετά από πέντε ημέρες συλλογής πληροφοριών σχετικά με πιθανούς στόχους που δεν είχαν ακόμη επιδιορθώσει τα συστήματά τους.
“Αν και δεν έχουμε εικόνα για το σύνολο των οργανισμών που έγιναν αντικείμενο εκμετάλλευσης κατά τη διάρκεια αυτής της εκστρατείας, πιστεύουμε ότι, παγκοσμίως, έχουν παραβιαστεί τουλάχιστον εννέα οργανισμοί στους κλάδους της τεχνολογίας, της άμυνας, της υγειονομικής περίθαλψης, της ενέργειας και της εκπαίδευσης“, δήλωσαν οι ερευνητές.
“Πιστεύουμε ότι οι εγκληματίες έχουν στοχεύσει τουλάχιστον 370 Zoho ManageEngine servers μόνο στις Ηνωμένες Πολιτείες“.
Οι ερευνητές πιστεύουν ότι οι σαρώσεις για ευάλωτα συστήματα ήταν πολύ γενικές, δεδομένου ότι οι στόχοι μπορεί να είναι από εκπαιδευτικά ιδρύματα έως οντότητες του Υπουργείου Άμυνας.
Οι ερευνητές παρατήρησαν άλλη μια σειρά από επιθέσεις που απέτυχαν να παραβιάσουν τους στόχους τους. Αυτό σημαίνει ότι μπορεί να υπάρχουν διάφορες hacking ομάδες που προσπαθούν να παραβιάσουν οργανισμούς χρησιμοποιώντας την παραπάνω ευπάθεια.
Αυτήν τη στιγμή, σύμφωνα με τις σαρώσεις της Palo Alto Networks, υπάρχουν πάνω από 11.000 servers που εκτίθενται στο Διαδίκτυο και εκτελούν το ευάλωτο λογισμικό της Zoho. Ωστόσο, δεν είναι γνωστός ο αριθμός των συστημάτων που έχουν ενημερωθεί.
Δείτε επίσης: Phishing emails μολύνουν θύματα με το MirCop ransomware
Μετά την επιτυχή παραβίαση των συστημάτων ενός οργανισμού (με τη χρήση της ευπάθειας), οι hackers αναπτύσσουν ένα malware dropper που παραδίδει Godzilla web shells σε παραβιασμένους servers για να αποκτήσουν και να διατηρήσουν πρόσβαση στα δίκτυα των θυμάτων. Επίσης, οι εγκληματίες εγκαθιστούν κακόβουλο λογισμικό, όπως το open-source backdoor NGLite.
Σύμφωνα με τους ερευνητές, οι hackers χρησιμοποίησαν επίσης το KdcSponge, ένα γνωστό credential stealer malware.
“Μετά την απόκτηση πρόσβασης στον αρχικό διακομιστή, οι εγκληματίες εστίασαν τις προσπάθειές τους στη συλλογή και την εξαγωγή ευαίσθητων πληροφοριών από local domain controllers, όπως το Active Directory database file (ntds.dit) και το SYSTEM hive από το registry“, είπαν οι αναλυτές.
Ουσιαστικά, ο στόχος των hackers που στόχευσαν τους οργανισμούς στους τομείς της άμυνας, της υγειονομικής περίθαλψης, της εκπαίδευσης κλπ., ήταν η κλοπή credentials, η διατήρηση της πρόσβασης στα συστήματα και η συλλογή ευαίσθητων πληροφοριών.
Συνδέεται η εκστρατεία κυβερνοκατασκοπείας με την κινεζική κρατική hacking ομάδα APT27;
Οι ερευνητές δεν μπορούν να πουν με σιγουριά ποιος βρίσκεται πίσω από την εκστρατεία κυβερνοκατασκοπείας. Ωστόσο, υποψιάζονται ότι αυτό μπορεί είναι έργο μιας ομάδας απειλών που υποστηρίζεται από την Κίνα. Πρόκειται για τη hacking ομάδα APT27 (επίσης γνωστή ως TG-3390, Emissary Panda, BRONZE UNION, Iron Tiger και LuckyMouse).
Δείτε επίσης: APT27: Η Κινεζική hacking ομάδα πίσω από σειρά ransomware επιθέσεων
Οι υποψίες αυτές προκύπτουν από κάποια εργαλεία και τακτικές που χρησιμοποιούνται σε αυτήν την καμπάνια και ταιριάζουν με προηγούμενες επιθέσεις της APT27. Επιπλέον, οι συγκεκριμένοι hackers συνηθίζουν να στοχεύουν οργανισμούς στον τομέα της άμυνας, της τεχνολογίας, της ενέργειας κλπ.
Η έκθεση της Palo Alto Networks περιλαμβάνει, επίσης, αναλύσεις από κυβερνητικούς εταίρους των ΗΠΑ, συμπεριλαμβανομένου του Cybersecurity Collaboration Center της NSA.
Πηγή: Bleeping Computer