Pesquisadores de segurança relatam ataques de hackers a alvos confidenciais
Pesquisadores de segurança da Palo Alto Networks relataram descobertas preocupantes sobre os esforços de hackers para violar entidades-alvo que trabalham em setores sensíveis, como defesa, saúde e energia. A investigação conduzida pela empresa de segurança foi apoiada pela US Cybersecurity and Infrastructure Security Agency.
De acordo com as informações que Palo Alto compartilhou pela primeira vez com a CNN, pelo menos nove entidades separadas que trabalham nesses setores sensíveis foram alvejadas em todo o mundo, com "pelo menos" uma dessas entidades localizada nos Estados Unidos.
A preparação para os ataques começou em meados de setembro de 2021, com os agentes de ameaças usando "infraestrutura alugada" localizada dentro dos Estados Unidos para examinar um grande número de redes de empresas em busca de vulnerabilidades. Das centenas de entidades verificadas, Palo Alto acredita que pelo menos nove foram violadas com sucesso, e pelo menos uma das violações bem-sucedidas foi contra uma organização dos EUA.
Os invasores usaram uma vulnerabilidade corrigida no software ManageEngine da Zoho Corporation. A vulnerabilidade foi rastreada sob o designador CVE-2021-40539.
Como o vetor de ataque e a carga útil usados são os mesmos em todas as organizações visadas, parece que tudo foi executado pelo mesmo agente de ameaça. As redes comprometidas tiveram o webshell Godzilla carregado nelas. Em um grupo limitado de alvos, uma porta dos fundos também foi instalada.
Depois que as ferramentas foram implantadas, os atores da ameaça as usaram para movimentação lateral e exfiltração de arquivos. Quando o acesso ao controlador de domínio foi obtido pelos hackers, eles também instalaram uma ferramenta que lhes permite roubar credenciais de login.
Não há informações concretas sobre a identidade dos atacantes, mas de acordo com Palo Alto algumas das táticas usadas para se infiltrar nas redes alinhadas com os métodos de um ator chinês de ameaças. O shell da web Godzilla usado nos ataques também era a versão em chinês da ferramenta. A espionagem cibernética continua sendo uma ameaça significativa, como mostra esta última descoberta conjunta de Palo Alto e da CISA dos Estados Unidos. As organizações precisam se proteger tanto contra atores de ransomware ávidos por dinheiro quanto contra ataques de espionagem semelhantes a esta última violação.
