Inom ett gäng ransomware: Akta dig för dessa aggressiva taktiker Titta nu
Microsoft har skickat en varning om en sofistikerad kinesisk hackergrupp som riktar in sig på en obskyr bugg i Zoho-programvaran för att installera ett webbskal.
Microsoft Threat Intelligence Center (MSTIC) har upptäckt missbruk som riktar sig mot system som kör Zoho ManageEngine ADSelfService Plus, en själv -tjänstlösenordshantering och enkel inloggningslösning, med felet för fjärrkörning av kod som spåras som CVE-2021-40539. Zoho är mest känd som en populär mjukvaru-som-en-tjänst-leverantör, medan ManageEngine är företagets IT-division för företagshantering.
Det är en riktad skadlig kampanj, så de flesta Windows-användare borde inte behöva oroa sig för det, men Microsoft har flaggat kampanjen, som den först observerade i september, eftersom den är inriktad på USA:s försvarsindustriella bas, högre utbildning, konsulttjänster och IT-sektorer.
SE: Ransomware: Det är en “gyllene era” för cyberbrottslingar – och det kan bli värre innan det blir bättre
MSTIC tillskriver aktiviteten till en grupp som den spårar som DEV-0322, som också var inriktad på ett nolldagarsfel i SolarWinds Serv-U FTP-programvara. Den amerikanska regeringen tillskrev en tidigare attack av mjukvaruförsörjningskedjan mot SolarWinds till Kreml-stödda intelligenshacker.
Palo Alto Networks Unit 42 observerade samma kinesiska grupp som skannade ManageEngine ADSelfService Plus-servrar från mitten av september till början av oktober.
Feget gäller en REST API-autentiseringsbypass som kan leda till fjärrkörning av kod i sårbara enheter.
Microsoft presenterar några detaljer om den senaste aktiviteten för gruppens användning av Zoho-felet, som förlitade sig på Godzillas webshell-nyttolast. Webshell anses i allmänhet vara ett problem eftersom de kan överleva en patch på det underliggande operativsystemet eller programvaran.
Den noterar att gruppen var inblandad i att “dumpa autentiseringsuppgifter, installera anpassade binärer och släppa skadlig programvara för att bibehålla persistens och flytta i sidled inom nätverket.”
SE: < /strong>Ransomware: Industriella tjänster toppar träfflistan – men cyberbrottslingar diversifierar sig
Attackgruppen distribuerade också en trojan som Microsoft kallar Trojan:Win64/Zebracon, som använder hårdkodade autentiseringsuppgifter för att skapa anslutningar till misstänkt DEV-0322-komprometterade Zimbra-e-postservrar.
“Godzilla är ett funktionsrikt webbskal som analyserar inkommande HTTP POST-förfrågningar, dekrypterar data med en hemlig nyckel, exekverar dekrypterat innehåll för att utföra ytterligare funktionalitet och returnerar resultatet via ett HTTP-svar. Detta tillåter angripare att hålla kod som troligen flaggas som skadlig utanför målsystemet tills de är redo för att dynamiskt köra det,” noterar Palo Alto Networks.
Säkerhet
Det bästa nätfiskemålet? Din smartphone Varför du behöver denna säkerhetsnyckel på 29 $ FBI: Ransomware grupperar som knyter attacker till “betydande ekonomiska händelser” Signal avslöjar hur långt amerikansk brottsbekämpning kommer att gå för att få folks information De 10 värsta hårdvarusäkerhetsbristerna 2021 Cybersecurity 101: Skydda din integritet från hackare , spioner, regeringen Kina | Säkerhets-TV | Datahantering | CXO | Datacenter