Binnen een bende ransomware: pas op voor deze agressieve tactieken Nu bekijken
Microsoft heeft een waarschuwing gestuurd over een geavanceerde Chinese hackergroep die zich op een obscure bug in Zoho-software richt om een webshell te installeren.
Microsoft Threat Intelligence Center (MSTIC) heeft exploits gedetecteerd die zich richten op systemen met Zoho ManageEngine ADSelfService Plus, een zelf -servicewachtwoordbeheer en oplossing voor eenmalige aanmelding, waarbij de bug voor het uitvoeren van externe code wordt bijgehouden als CVE-2021-40539. Zoho is vooral bekend als een populaire software-as-a-service-leverancier, terwijl ManageEngine de enterprise IT-beheersoftwaredivisie van het bedrijf is.
Het is een gerichte malwarecampagne, dus de meeste Windows-gebruikers hoeven zich er geen zorgen over te maken, maar Microsoft heeft de campagne gemarkeerd, die het voor het eerst in september opmerkte, omdat het gericht is op de Amerikaanse defensie-industriële basis, hoger onderwijs, adviesdiensten en IT-sectoren.
ZIE: Ransomware: het is een 'gouden tijdperk' voor cybercriminelen – en het kan erger worden voordat het beter wordt
MSTIC schrijft de activiteit toe aan een groep die het volgt als DEV-0322, die ook gericht was op een zero-day-fout in SolarWinds Serv-U FTP-software. De Amerikaanse regering schreef een eerdere aanval op de softwaretoeleveringsketen op SolarWinds toe aan door het Kremlin gesteunde inlichtingenhackers.
Palo Alto Networks Unit 42 observeerde dezelfde Chinese groep die ManageEngine ADSelfService Plus-servers scande van half september tot begin oktober.
De bug betreft een REST API-authenticatiebypass die kan leiden tot het uitvoeren van externe code op kwetsbare apparaten.
Microsoft geeft enkele details over de laatste activiteit van het gebruik door de groep van de Zoho-bug, die afhankelijk was van de Godzilla-webshell-payload. Webshells worden over het algemeen als een probleem beschouwd omdat ze een patch op het onderliggende besturingssysteem of de onderliggende software kunnen overleven.
Het merkt op dat de groep betrokken was bij “het dumpen van inloggegevens, het installeren van aangepaste binaire bestanden en het verwijderen van malware om de persistentie te behouden en lateraal binnen het netwerk te bewegen.”
ZIE: < /strong>Ransomware: industriële services bovenaan de hitlijst, maar cybercriminelen diversifiëren
De aanvalsgroep zette ook een Trojaans paard in, Microsoft genaamd Trojan:Win64/Zebracon, dat hardgecodeerde inloggegevens gebruikt om verbindingen te maken met vermoedelijke DEV-0322-gecompromitteerde e-mailservers van Zimbra.
“Godzilla is een functionaliteit-rijke webshell die parseert inkomende HTTP POST-verzoeken, decodeert de gegevens met een geheime sleutel, voert gedecodeerde inhoud uit om extra functionaliteit uit te voeren en retourneert het resultaat via een HTTP-reactie. Hierdoor kunnen aanvallers code die waarschijnlijk als kwaadaardig wordt gemarkeerd buiten het doelsysteem houden totdat ze klaar zijn om het dynamisch uit te voeren”, merkt Palo Alto Networks op.
Beveiliging
Het beste phishing-doelwit? Je smartphone Waarom je deze beveiligingssleutel van $ 29 nodig hebt FBI: Ransomware-groepen koppelen aanvallen aan 'belangrijke financiële gebeurtenissen' Signaal onthult hoe ver de Amerikaanse wetshandhavers gaan om informatie van mensen te krijgen De 10 ergste hardware-beveiligingsfouten in 2021 Cybersecurity 101: bescherm je privacy tegen hackers , spionnen, de overheid China | Beveiliging TV | Gegevensbeheer | CXO | Datacenters