Sicherheitsforscher berichten von Hackerangriffen auf sensible Ziele

Sicherheitsforscher von Palo Alto Networks berichteten von beunruhigenden Erkenntnissen über Hacker-Bemühungen, Zieleinheiten zu durchbrechen, die in sensiblen Sektoren wie Verteidigung, Gesundheitswesen und Energie tätig sind. Die von der Sicherheitsfirma durchgeführte Untersuchung wurde von der US-amerikanischen Behörde für Cybersicherheit und Infrastruktursicherheit unterstützt.

Laut den Informationen, die Palo Alto CNN zum ersten Mal mitgeteilt hatte, wurden weltweit mindestens neun separate Unternehmen in diesen sensiblen Sektoren angegriffen, von denen sich „mindestens“ in den USA befindet.

Die Vorbereitungen für die Angriffe begannen Mitte September 2021, indem Bedrohungsakteure mit „gemieteter Infrastruktur“ in den USA eine Vielzahl von Unternehmensnetzwerken auf Schwachstellen scannen. Palo Alto glaubt, dass von den Hunderten von gescannten Entitäten mindestens neun erfolgreich durchbrochen wurden und mindestens einer der erfolgreichen Verstöße gegen eine US-Organisation gerichtet war.

Die Angreifer nutzten eine inzwischen gepatchte Schwachstelle in der ManageEngine-Software der Zoho Corporation. Die Schwachstelle wurde unter dem Bezeichner CVE-2021-40539 verfolgt.

Da der Angriffsvektor und die verwendete Nutzlast in allen Zielorganisationen gleich waren, scheint dies alles von demselben Bedrohungsakteur ausgeführt worden zu sein. In die kompromittierten Netzwerke wurde die Godzilla-Webshell hochgeladen. In einem begrenzten Pool von Zielen wurde auch eine Hintertür installiert.

Nachdem die Tools eingesetzt waren, nutzten die Bedrohungsakteure sie für die seitliche Bewegung und die Exfiltration von Dateien. Als die Hacker Zugriff auf den Domänencontroller erhielten, installierten sie auch ein Tool, mit dem sie Anmeldeinformationen stehlen können.

Über die Identität der Angreifer gibt es keine konkreten Informationen, aber laut Palo Alto stimmen einige der Taktiken bei der Infiltrierung der Netzwerke mit den Methoden eines chinesischen Bedrohungsakteurs überein. Die bei den Angriffen verwendete Godzilla-Web-Shell war auch die chinesischsprachige Version des Tools. Cyberspionage bleibt eine bedeutende Bedrohung, wie diese jüngste gemeinsame Entdeckung von Palo Alto und dem US-amerikanischen CISA zeigt. Unternehmen müssen sich sowohl gegen geldhungrige Ransomware-Akteure als auch gegen Spionageangriffe wie diese jüngste Sicherheitsverletzung schützen.

November 9, 2021