Al menos nueve jugadores en las industrias de tecnología, defensa, atención médica, energía y educación se han visto comprometidos al explotar una vulnerabilidad crítica recientemente reparada en la solución de inicio de sesión único (SSO) y administración de contraseñas de autoservicio de Zoho ManageEngine ADSelfService Plus.
La campaña de espionaje, observada desde el 22 de septiembre de 2021, involucró a un actor de amenazas que usó los errores para obtener acceso inicial a las organizaciones objetivo antes de moverse a través de la red y realizar actividades de explotación mediante el despliegue de credenciales maliciosas para recopilar credenciales y filtrar información confidencial a través de la puerta trasera.
«El actor confía en gran medida en el shell web de Godzilla y carga varias variantes del shell web de código abierto en el servidor comprometido durante la operación», dijo la Unidad 42 de Palo Alto Networks, un equipo de análisis de amenazas. «Varias otras herramientas tienen características nuevas o no se han discutido públicamente por haber sido utilizadas en ataques anteriores, a saber, la puerta trasera NGLite y el ladrón KdcSponge».
La vulnerabilidad, registrada como CVE-2021-40539, está relacionada con una vulnerabilidad de omisión de autenticación que afecta a las URL de la API REST que podrían permitir la ejecución remota de código, lo que lleva a la Agencia de Seguridad de Infraestructura y Seguridad Cibernética (CISA) a advertir contra los intentos activos de abuso en la naturaleza. La deficiencia de seguridad se calificó con una calificación de gravedad de 9,8 sobre 10.
Según CISA, la Oficina Federal de Investigaciones (FBI) de EE. UU. y el Comando de la Guardia Costera Cibernética (CGCYBER), los ataques del mundo real que han armado la falla comenzaron, según se informa, en agosto de 2021.
Una investigación sobre la campaña ofensiva de la Unidad 42 encontró que las actividades iniciales exitosas de explotación fueron seguidas consistentemente por la instalación de un shell web JSP en chino llamado «Godzilla», y las víctimas seleccionadas también fueron infectadas con su propio troyano abierto basado en Golang llamado «NGLite». . . «
«NGLite es descrito por su autor como un ‘programa de control remoto basado en blockchain multiplataforma anónimo'», explicaron los investigadores Robert Falcone, Jeff White y Peter Renals. «Utiliza la infraestructura New Kind of Network (NKN) para sus comunicaciones de comando y control (C2), lo que teóricamente conduce al anonimato de sus usuarios».
En los siguientes pasos, el kit de herramientas permitió al atacante ejecutar comandos y moverse lateralmente a otros sistemas en la red mientras transfirió archivos que le interesaban. Un nuevo ladrón de contraseñas llamado «KdcSponge» también se implementa en la cadena de asesinatos, organizado para robar credenciales de los controladores de dominio.
Al final, se cree que el enemigo apuntó al menos a 370 servidores Zoho ManageEngine solo en los EE. UU. desde el 17 de septiembre. Aunque la identidad del actor de amenazas sigue sin estar clara, la Unidad 42 dijo que observó correlaciones en tácticas y herramientas entre el atacante y el emisario. Panda (también conocido como APT27, TG-3390, BRONZE UNION, Iron Tiger o LuckyMouse).
Microsoft, que también está monitoreando de forma independiente la misma campaña, la vinculó con el grupo de amenazas emergentes «DEV-0322», que opera fuera de China y se detectó previamente en julio utilizando el día cero en el servicio de transferencia de archivos administrado SolarWinds Serv-U. 2021. La compañía con sede en Redmond también señaló el despliegue de un implante llamado «Zebracon», que permite que el malware se conecte a los servidores de correo electrónico Zimbra infectados para obtener más instrucciones.
«Las organizaciones que identifiquen cualquier actividad relacionada con los indicadores de compromiso de ManageEngine ADSelfService Plus en sus redes deben tomar medidas inmediatas», dijo CISA, y recomendó «restablecer la contraseña de todo el dominio y el doble restablecimiento del vale de concesión de boletos Kerberos (TGT) si hay indicaciones». se encontró que el archivo ‘NTDS.dit’ estaba comprometido».
