Biztonsági kutatók érzékeny célpontok elleni hackertámadásokról számolnak be

A Palo Alto Networks biztonsági kutatói aggasztó eredményekről számoltak be a hackerek azon erőfeszítéseivel kapcsolatban, amelyek célja az olyan érzékeny ágazatokban dolgozó szervezetek megsértésére irányultak, mint a védelem, az egészségügy és az energia. A biztonsági cég által lefolytatott vizsgálatot az Egyesült Államok Kiberbiztonsági és Infrastruktúrabiztonsági Ügynöksége támogatta.

Azok az információk szerint, amelyeket Palo Alto először osztott meg a CNN-nel, legalább kilenc, ezekben az érzékeny szektorokban dolgozó szervezetet célozták meg szerte a világon, és ezek közül „legalább” az egyik az Egyesült Államokban található.

A támadások előkészítése 2021. szeptember közepén kezdődött, amikor a fenyegetés szereplői az Egyesült Államokon belüli "bérelt infrastruktúrát" használták, hogy nagyszámú vállalati hálózatot vizsgáljanak meg sebezhetőséget keresve. A több száz vizsgált entitás közül Palo Alto úgy véli, hogy legalább kilencet sikeresen feltörtek, és a sikeres jogsértések közül legalább egy amerikai szervezet ellen irányult.

A támadók a Zoho Corporation ManageEngine szoftverének most kijavított sebezhetőségét használták fel. A sérülékenységet a CVE-2021-40539 jelzővel követték nyomon.

Mivel a támadási vektor és a hasznos terhelés ugyanaz volt az összes megcélzott szervezetnél, úgy tűnik, hogy mindezt ugyanaz a fenyegetés végrehajtotta. A kompromittált hálózatokra feltöltötték a Godzilla webshelljét. A célpontok korlátozott készletében egy hátsó ajtót is telepítettek.

Az eszközök bevetése után a fenyegetés szereplői oldalirányú mozgatásra és fájlok kiszűrésére használták őket. Amikor a hackerek hozzáférést szereztek a tartományvezérlőhöz, egy olyan eszközt is telepítettek, amely lehetővé teszi a bejelentkezési adatok ellopását.

A támadók kilétéről nincsenek szigorú információk, de Palo Alto szerint a hálózatokba való beszivárgás során alkalmazott taktika egy része egy kínai fenyegetőző módszeréhez igazodik. A támadásoknál használt Godzilla webhéj egyben az eszköz kínai nyelvű változata is volt. A kiberkémkedés továbbra is jelentős fenyegetést jelent, amint azt Palo Alto és az amerikai CISA legújabb közös felfedezése is mutatja. A szervezeteknek védekezniük kell mind a pénzéhes ransomware-szereplők ellen, mind pedig a legutóbbi incidenshez hasonló kémtámadások ellen.