Cacat Pengelola Kata Sandi Zoho Di-torched oleh Godzilla Webshell

Kampanye baru
A membongkar kerentanan keamanan yang diketahui di pengelola kata sandi Zoho ManageEngine ADSelfService Plus, para peneliti memperingatkan selama akhir pekan. Para pelaku ancaman telah berhasil mengeksploitasi kelemahan Zoho di setidaknya sembilan entitas global di seluruh sektor penting sejauh ini (teknologi, pertahanan, perawatan kesehatan, energi, dan pendidikan), menyebarkan webshell Godzilla dan mengekstraksi data.

Pada hari Minggu, peneliti Unit 42 Jaringan Palo Alto mengatakan bahwa kampanye spionase siber yang ditargetkan berbeda dari yang diperingatkan oleh FBI dan CISA pada bulan September.

Bug tersebut adalah kelemahan bypass otentikasi yang kritis – CVE-2021-40539 – yang memungkinkan eksekusi kode jarak jauh (RCE) yang tidak diautentikasi. Zoho menambal kerentanan pada bulan September, tetapi telah dieksploitasi secara aktif di alam liar mulai setidaknya awal Agustus ketika itu adalah zero-day, membuka pintu perusahaan bagi penyerang yang dapat mengamuk saat mereka mendapatkan kendali bebas di Direktori Aktif pengguna (AD) dan akun cloud.

Konsekuensi dari eksploitasi yang berhasil dapat menjadi signifikan: Zoho ManageEngine ADSelfService Plus adalah manajemen kata sandi layanan mandiri dan platform sistem masuk tunggal (SSO) untuk aplikasi AD dan cloud, yang berarti bahwa setiap penyerang cyber dapat mengambil kontrol platform akan memiliki beberapa titik pivot ke dalam aplikasi yang sangat penting (dan data sensitifnya) dan bagian lain dari jaringan perusahaan melalui AD. Dengan kata lain, ini adalah aplikasi yang kuat dan sangat istimewa yang dapat bertindak sebagai titik masuk yang nyaman ke area jauh di dalam jejak perusahaan, baik bagi pengguna maupun penyerang. Peringatan

CISA menjelaskan bahwa dalam serangan sebelumnya,  menyatakan- didukung, ancaman persisten tingkat lanjut (APT) menerapkan webshell tertentu dan teknik lain untuk mempertahankan kegigihan di lingkungan korban.

Sembilan hari setelah peringatan CISA, peneliti Unit 42 melihat kampanye lain yang tidak terkait dimulai pada 17 September, sebagai kampanye yang berbeda aktor mulai memindai server yang belum ditambal. Pada 22 September, setelah lima hari mengumpulkan data tentang target potensial, upaya eksploitasi dimulai dan kemungkinan berlanjut hingga awal Oktober. Peneliti unit 42 percaya bahwa aktor tersebut kurang lebih menargetkan server yang belum ditambal di seluruh spektrum, dari pendidikan hingga Departemen Pertahanan, dengan pemindaian setidaknya 370 server Zoho ManageEngine di AS saja.

“Meskipun kami tidak memiliki wawasan tentang totalitas organisasi yang dieksploitasi selama kampanye ini, kami percaya bahwa, secara global, setidaknya sembilan entitas di seluruh teknologi, pertahanan, industri kesehatan, energi dan pendidikan dikompromikan.” mereka berkata.

Godzilla Webshell Melakukan Beberapa Pengangkatan Berat

Unit 42 mengatakan bahwa setelah pelaku ancaman mengeksploitasi CVE-2021-40539 untuk mendapatkan RCE, mereka dengan cepat bergerak ke samping untuk menyebarkan beberapa malware, terutama mengandalkan webshell Godzilla yang tersedia untuk umum.

Aktor tersebut mengunggah beberapa Godzilla variasi ke server yang disusupi dan menanam beberapa alat malware baru juga, termasuk pintu belakang sumber terbuka berbasis Golang yang disebut NGLite dan pencuri kredensial baru yang dilacak Unit 42 sebagai KdcSponge.

“Aktor ancaman kemudian menggunakan webshell atau muatan NGLite untuk menjalankan perintah dan berpindah secara lateral ke sistem lain di jaringan, sementara mereka mengekstrak file yang menarik hanya dengan mengunduhnya dari server web,” menurut analisis tersebut. Setelah aktor berputar ke pengontrol domain, mereka menginstal pencuri KdcSponge baru, yang dirancang untuk mengumpulkan nama pengguna dan kata sandi dari pengontrol domain saat akun mencoba mengautentikasi ke domain melalui Kerberos.

Kedua Godzilla dan NGLite ditulis dalam bahasa Cina dan gratis untuk pengambilan pada GitHub.

“Kami percaya pelaku ancaman menggunakan alat ini dalam kombinasi sebagai bentuk redundansi untuk mempertahankan akses ke jaringan dengan minat tinggi,” Unit 42 menduga. Para peneliti menggambarkan Godzilla sebagai sesuatu dari pisau saku multi-fungsi dari webshell, mencatat bahwa itu “mem-parsing permintaan HTTP POST masuk, mendekripsi data dengan kunci rahasia, mengeksekusi konten yang didekripsi untuk melakukan fungsionalitas tambahan dan mengembalikan hasilnya melalui HTTP respon.”

Dengan demikian, penyerang dapat menahan diri dari menimbulkan sistem yang ditargetkan dengan kode yang mungkin ditandai sebagai berbahaya sampai mereka siap untuk menjalankannya secara dinamis, kata para peneliti.

Menggunakan NKN untuk Berkomunikasi Adalah Pembuka Mata

“NGLite dicirikan oleh penulis sebagai ‘program kendali jarak jauh lintas platform anonim berdasarkan teknologi blockchain,`” peneliti United 42 Robert Falcone, Jeff White dan Peter Renals menjelaskan. “Ini memanfaatkan infrastruktur New Kind of Network (NKN) untuk komunikasi komando dan kontrol (C2), yang secara teoritis menghasilkan anonimitas bagi penggunanya.”

Para peneliti mencatat bahwa menggunakan NKN – layanan jaringan yang sah yang menggunakan teknologi blockchain untuk mendukung desentralisasi jaringan rekan – untuk saluran C2 adalah “sangat tidak biasa.”

“Kami hanya melihat 13 sampel berkomunikasi dengan NKN secara keseluruhan – sembilan sampel NGLite dan empat terkait dengan utilitas sumber terbuka yang sah bernama Surge yang menggunakan NKN untuk berbagi file.”

Threat Actor Berbagi TTPs dengan Utusan Panda

Unit 42 mengatakan identitas aktor ancaman tidak jelas, tetapi peneliti melihat korelasi dalam taktik dan peralatan antara penyerang dan Grup Ancaman 3390, alias Utusan Panda, APT27, Persatuan Perunggu dan LuckyMouse), sebuah APT yang sudah ada sejak tahun 2013 dan diyakini beroperasi dari China.

“Secara khusus, seperti yang didokumentasikan oleh SecureWorks dalam sebuah artikel di TG-3390 operasi sebelumnya kami dapat melihat bahwa TG-3390 juga menggunakan eksploitasi web dan webshell populer China lainnya yang disebut ChinaChopper untuk pijakan awal mereka sebelum memanfaatkan kredensial curian yang sah untuk pergerakan lateral dan serangan pada pengontrol domain, ”kata Unit 42. “Sementara webshell dan eksploitasi berbeda, setelah aktor mencapai akses ke lingkungan, kami mencatat tumpang tindih dalam beberapa alat eksfiltrasi mereka.”

Dalam peringatan 16 September, CISA merekomendasikan agar organisasi yang melihat indikator kompromi terkait dengan ManageEngine ADSelfService Plus harus “segera mengambil tindakan.”

Selain itu, CISA sangat merekomendasikan pengaturan ulang kata sandi seluruh domain dan pengaturan ulang kata sandi Kerberos Ticket Granting Ticket (TGT) ganda, “jika ada indikasi ditemukan bahwa file NTDS.dit telah disusupi.”

Target Cyberespionage Klasik: Perawatan Kesehatan dan Energy

Jika aktor di balik kampanye kedua yang berfokus pada Zoho ini ternyata adalah APT China, itu tidak akan mengejutkan, kata beberapa orang. Dave Klein, penginjil dunia maya dan direktur di Cymulate, menunjuk ke Republik Rakyat Tiongkok (RRT) yang memiliki minat berkelanjutan yang terdokumentasi dengan baik dalam data infrastruktur kesehatan dan energi.

Dia menunjuk pada pelanggaran 2015 terhadap Kantor Manajemen Personalia AS (OPM) ) sebagai contoh. Pelanggaran besar-besaran sebagian besar dikaitkan dengan RRC. Ini termasuk informasi yang sangat sensitif, termasuk jutaan sidik jari pegawai federal, nomor Jaminan Sosial, tanggal lahir, catatan kinerja karyawan, riwayat pekerjaan, tunjangan pekerjaan, resume, transkrip sekolah, dokumentasi dinas militer dan data psikologis dari wawancara yang dilakukan oleh penyelidik latar belakang.

“RRT masuk ke data informasi latar belakang izin termasuk informasi yang sangat sensitif. Selanjutnya dalam kasus itu mereka mencari kelemahan pada personel rahasia AS – yang akan mencakup kesulitan kesehatan – baik secara pribadi atau terkait dengan mereka, ”kata Klein kepada Threapost melalui email pada hari Senin. , termasuk Anthem Health: serangan yang mempengaruhi lebih dari 78 juta orang. “Ketertarikan pada data perawatan kesehatan secara global berlanjut tidak hanya untuk tujuan spionase terhadap target – membangun inventarisasi kesulitan/titik lemah serta mencari data perawatan kesehatan untuk melayani industri lokal mereka dengan lebih baik,” kata Klein. “Di bidang energi, kepentingannya adalah mencuri informasi spionase industri serta menyiapkan kompromi dalam infrastruktur penting untuk penggunaan potensial dalam kasus permusuhan di masa depan.”

Jika Menambal Tidak Wajib, Pelanggaran Adalah Diberikan

Mike Denapoli, arsitek keamanan utama di Cymulate, menambahkan bahwa kerentanan yang terdokumentasi dengan baik (dan ditambal) di platform yang sangat populer seperti Microsoft Exchange dan MangeEngine adalah buah matang untuk diambil oleh aktor ancaman. Organisasi yang tidak dapat atau tidak mau menambal adalah bebek yang sedang duduk, katanya.

“Untuk apa pun alasannya (penghindaran waktu henti, ketakutan akan tambalan yang mengganggu alur kerja, dll.), penyerang tahu bahwa sistem ini rentan, dan memastikan untuk mengambil keuntungan dari organisasi mana pun yang tidak terus memperbarui patch,” kata Denapoli kepada Threatpost. “Kami telah mencapai titik di mana penambalan adalah suatu keharusan – dalam waktu yang wajar – dan perlu dilakukan. Meskipun Anda tidak harus segera menambal, Anda harus menambal secara teratur. Waktu henti adalah wajib. Pengujian adalah wajib. Jika tidak, maka pelanggaran adalah wajib.”

Image milik AlphaCoders.

110821 12:24 UPDATE: Masukan tambahan dari Mike Denapoli dan Dave Klein.

Keamanan siber untuk lingkungan multi-cloud terkenal menantang. OSquery dan CloudQuery adalah jawaban yang solid. Bergabunglah dengan Uptycs dan Threatpost pada Selasa, 16 November pukul 2 siang. ET untuk “Pengantar OSquery dan CloudQuery,” percakapan interaktif LIVE dengan Eric Kaiser, insinyur keamanan senior Uptycs, tentang bagaimana alat sumber terbuka ini dapat membantu menjinakkan keamanan di seluruh kampus organisasi Anda.

Daftar SEKARANG untuk acara LIVE dan kirim pertanyaan sebelumnya ke Becky Bracken dari Threatpost di becky.bracken@threatpost.com.
Tulis komentar
Bagikan artikel ini:

  • Malwareliu

    <

    ul>iKerentananliu

      iKeamanan Web
  • Wagiman Wiryosukiro

    Petani Sistem Informasi, tukang las plugin & themes Wordpress. Co-Founder SistemInformasi.biz. Saat ini aktif sebagai Developer & kontributor di OpenMandriva Linux.

    You may also like...

    %d bloggers like this: