Исследователи безопасности сообщают о хакерских атаках на уязвимые цели

Исследователи безопасности из Palo Alto Networks сообщили о тревожных выводах, касающихся попыток хакеров взломать целевые организации, работающие в чувствительных секторах, таких как оборона, здравоохранение и энергетика. Расследование, проведенное охранной фирмой, поддерживало Агентство по кибербезопасности и безопасности инфраструктуры США.

Согласно информации, которую Пало-Альто впервые поделился с CNN, по крайней мере девять отдельных организаций, работающих в этих чувствительных секторах, были атакованы по всему миру, причем «по крайней мере» одна из этих организаций находится в США.

Подготовка к атакам началась в середине сентября 2021 года, когда злоумышленники использовали «арендованную инфраструктуру», расположенную на территории США, для сканирования большого количества сетей компании на наличие уязвимостей. Пало-Альто считает, что из сотен просканированных объектов, по крайней мере, девять были успешно взломаны, и по крайней мере одно из успешных взломов было направлено против американской организации.

Злоумышленники использовали исправленную уязвимость в программном обеспечении ManageEngine корпорации Zoho. Уязвимость отслеживалась под индексом CVE-2021-40539.

Поскольку вектор атаки и полезная нагрузка были одинаковыми для всех целевых организаций, казалось, что все это было выполнено одним и тем же злоумышленником. В скомпрометированные сети была загружена веб-оболочка Годзиллы. В ограниченном пуле целей также был установлен бэкдор.

После развертывания инструментов злоумышленники использовали их для бокового перемещения и эксфильтрации файлов. Когда хакеры получили доступ к контроллеру домена, они также установили инструмент, позволяющий украсть учетные данные.

Нет достоверной информации о личности злоумышленников, но, по словам Пало-Альто, некоторые из тактик, использованных при проникновении в сети, совпадают с методами китайского злоумышленника. Веб-оболочка Godzilla, использованная в атаках, также была версией этого инструмента на китайском языке. Кибершпионаж остается серьезной угрозой, как показывает это последнее совместное открытие Пало-Альто и US CISA. Организациям необходимо защищаться как от жаждущих денег участников программ-вымогателей, так и от шпионских атак, подобных этой последней утечке.

November 9, 2021