Inde i en ransomware-bande: Pas på disse aggressive taktikker Se nu
Microsoft har sendt en advarsel om en sofistikeret kinesisk hackergruppe, der målretter mod en obskur fejl i Zoho-softwaren for at installere en webshell.
Microsoft Threat Intelligence Center (MSTIC) har opdaget udnyttelser, der er målrettet mod systemer, der kører Zoho ManageEngine ADSelfService Plus, en selvstændig -service password management og single sign-on løsning, hvor fejlen til fjernudførelse af kode spores som CVE-2021-40539. Zoho er bedst kendt som en populær software-as-a-service-leverandør, mens ManageEngine er virksomhedens IT-administrationssoftwaredivision.
Det er en målrettet malware-kampagne, så de fleste Windows-brugere behøver ikke at bekymre sig om det, men Microsoft har markeret kampagnen, som den første gang observerede i september, fordi den er rettet mod den amerikanske forsvarsindustrielle base, højere uddannelse, konsulenttjenester og IT-sektorer.
Se også: Ransomware: Det er en 'gylden æra' for cyberkriminelle – og det kan blive værre, før det bliver bedre.. p>
MSTIC tilskriver aktiviteten til en gruppe, den sporer, som DEV-0322, som også var rettet mod en nul-dages fejl i SolarWinds Serv-U FTP-software. Den amerikanske regering tilskrev et tidligere softwareforsyningskædeangreb på SolarWinds til Kreml-støttede efterretningshackere.
Palo Alto Networks Unit 42 observerede den samme kinesiske gruppe, der scannede ManageEngine ADSelfService Plus-servere fra midten af september til begyndelsen af oktober.
Fejlen vedrører en omgåelse af REST API-godkendelse, der kan føre til fjernudførelse af kode i sårbare enheder.
Microsoft uddyber nogle detaljer om den seneste aktivitet af gruppens brug af Zoho-fejlen, som var afhængig af Godzilla-webshell-nyttelasten. Webshells betragtes generelt som et problem, fordi de kan overleve en patch på det underliggende OS eller software.
Den bemærker, at gruppen var involveret i “dumping af legitimationsoplysninger, installation af tilpassede binære filer og droppe malware for at opretholde persistens og bevæge sig sideværts inden for netværket.”
Se også: Ransomware: Industrielle tjenester topper hitlisten – men cyberkriminelle diversificerer.
Angrebsgruppen implementerede også en trojaner Microsoft kalder Trojan:Win64/Zebracon, som bruger hårdkodede legitimationsoplysninger til at oprette forbindelser til formodede DEV-0322-kompromitterede Zimbra-e-mail-servere.
“Godzilla er en funktionsrig webshell, der analyserer indgående HTTP POST-anmodninger, dekrypterer dataene med en hemmelig nøgle, eksekverer dekrypteret indhold for at udføre yderligere funktionalitet og returnerer resultatet via et HTTP-svar. Dette giver angribere mulighed for at holde kode, der sandsynligvis vil blive markeret som ondsindet, væk fra målsystemet, indtil de er klar til dynamisk at udføre det,” bemærker Palo Alto Networks.
Sikkerhed
Det bedste phishing-mål? Din smartphone Hvorfor har du brug for denne sikkerhedsnøgle på 29 $ FBI: Ransomware grupperer, der binder angreb til 'betydelige økonomiske begivenheder' Signal afslører, hvor langt amerikansk retshåndhævelse vil gå for at få folks information De 10 værste hardwaresikkerhedsfejl i 2021 Cybersecurity 101: Beskyt dit privatliv mod hackere , spioner, regeringen Kina | Sikkerheds-tv | Datastyring | CXO | Datacentre