Inne i en løsepengevaregjeng: Pass på disse aggressive taktikkene Se nå
Microsoft har sendt et varsel om en sofistikert kinesisk hackergruppe som retter seg mot en obskur feil i Zoho-programvaren for å installere et webshell.
Microsoft Threat Intelligence Center (MSTIC) har oppdaget utnyttelsesmålrettingssystemer som kjører Zoho ManageEngine ADSelfService Plus, et selvbilde -tjenestepassordadministrasjon og enkeltpåloggingsløsning, med feilen for ekstern kjøring av kode sporet som CVE-2021-40539. Zoho er best kjent som en populær programvare-som-en-tjeneste-leverandør, mens ManageEngine er selskapets IT-administrasjonsprogramvareavdeling for bedrifter.
Det er en målrettet malware-kampanje, så de fleste Windows-brukere burde ikke trenge å bekymre seg for det, men Microsoft har flagget kampanjen, som den først observerte i september, fordi den er rettet mot den amerikanske forsvarsindustribasen, høyere utdanning, konsulenttjenester og IT-sektorer.
SE: Ransomware: Det er en “gyllen æra” for nettkriminelle – og det kan bli verre før det blir bedre
MSTIC tilskriver aktiviteten til en gruppe den sporer som DEV-0322, som også var rettet mot en null-dagers feil i SolarWinds Serv-U FTP-programvare. Den amerikanske regjeringen tilskrev et tidligere programvareforsyningskjedeangrep på SolarWinds til Kreml-støttede etterretningshackere.
Palo Alto Networks Unit 42 observerte den samme kinesiske gruppen som skannede ManageEngine ADSelfService Plus-servere fra midten av september til begynnelsen av oktober.
Feilen gjelder en REST API-autentiseringsomgåelse som kan føre til ekstern kjøring av kode på sårbare enheter.
Microsoft utdyper noen detaljer om den siste aktiviteten til gruppens bruk av Zoho-feilen, som var avhengig av Godzillas webshell-nyttelast. Webshell anses generelt som et problem fordi de kan overleve en oppdatering på det underliggende operativsystemet eller programvaren.
Den bemerker at gruppen var involvert i “legitimasjonsdumping, installering av tilpassede binære filer og dropping av skadelig programvare for å opprettholde utholdenhet og bevege seg sideveis i nettverket.”
SE: < /strong>Ransomware: Industrielle tjenester topper hitlisten – men nettkriminelle diversifiserer
Angrepsgruppen distribuerte også en trojaner som Microsoft kaller Trojan:Win64/Zebracon, som bruker hardkodet legitimasjon for å opprette forbindelser til mistenkte DEV-0322-kompromitterte Zimbra-e-postservere.
“Godzilla er et funksjonsrikt webshell som analyserer innkommende HTTP POST-forespørsler, dekrypterer dataene med en hemmelig nøkkel, kjører dekryptert innhold for å utføre tilleggsfunksjonalitet og returnerer resultatet via et HTTP-svar. Dette lar angripere holde kode som sannsynligvis blir flagget som ondsinnet utenfor målsystemet til de er klare for å kjøre den dynamisk,” bemerker Palo Alto Networks.
Sikkerhet
Det beste phishing-målet? Din smarttelefon Hvorfor trenger du denne sikkerhetsnøkkelen til $29 FBI: Ransomware grupperer som knytter angrep til “betydelige økonomiske hendelser” Signal avslører hvor langt amerikansk rettshåndhevelse vil gå for å få folks informasjon De 10 verste maskinvaresikkerhetsfeilene i 2021 Cybersecurity 101: Beskytt personvernet ditt mot hackere , spioner, regjeringen Kina | Sikkerhets-TV | Databehandling | CXO | Datasentre