I ricercatori sulla sicurezza segnalano attacchi di hacker su obiettivi sensibili

I ricercatori di sicurezza di Palo Alto Networks hanno riportato risultati preoccupanti sugli sforzi degli hacker per violare entità target che lavorano in settori sensibili come la difesa, l'assistenza sanitaria e l'energia. L'indagine condotta dalla società di sicurezza è stata sostenuta dalla US Cybersecurity and Infrastructure Security Agency.

Secondo le informazioni che Palo Alto ha condiviso per la prima volta con la CNN, almeno nove entità separate che lavorano in quei settori sensibili sono state prese di mira in tutto il mondo, con "almeno" una di queste entità situata negli Stati Uniti.

La preparazione per gli attacchi è iniziata a metà settembre 2021, con gli attori delle minacce che utilizzano "infrastrutture in affitto" situate negli Stati Uniti per scansionare un gran numero di reti aziendali alla ricerca di vulnerabilità. Delle centinaia di entità scansionate, Palo Alto ritiene che almeno nove siano state violate con successo e almeno una delle violazioni riuscite fosse contro un'organizzazione statunitense.

Gli aggressori hanno utilizzato una vulnerabilità ora patchata nel software ManageEngine di Zoho Corporation. La vulnerabilità è stata tracciata con il designatore CVE-2021-40539.

Poiché il vettore di attacco e il payload utilizzati erano gli stessi in tutte le organizzazioni mirate, sembrerebbe che tutto ciò sia stato eseguito dallo stesso attore della minaccia. Alle reti compromesse è stata caricata la webshell di Godzilla. In un numero limitato di bersagli è stata installata anche una backdoor.

Una volta che gli strumenti sono stati distribuiti, gli autori delle minacce li hanno utilizzati per il movimento laterale e l'esfiltrazione dei file. Quando gli hacker hanno ottenuto l'accesso al controller di dominio, hanno anche installato uno strumento che consente loro di rubare le credenziali di accesso.

Non ci sono informazioni concrete sull'identità degli aggressori ma secondo Palo Alto alcune delle tattiche utilizzate nell'infiltrazione nelle reti sono allineate con i metodi di un attore di minacce cinese. La web shell di Godzilla utilizzata negli attacchi era anche la versione in lingua cinese dello strumento. Lo spionaggio informatico rimane una minaccia significativa, come dimostra quest'ultima scoperta congiunta di Palo Alto e della CISA statunitense. Le organizzazioni devono proteggersi sia dagli attori ransomware affamati di denaro che dagli attacchi di spionaggio simili a quest'ultima violazione.