Säkerhetsforskare rapporterar hackerattacker mot känsliga mål

Säkerhetsforskare med Palo Alto Networks rapporterade oroväckande fynd om hackers ansträngningar för att bryta mot målenheter som arbetar inom känsliga sektorer som försvar, hälsovård och energi. Utredningen som genomfördes av säkerhetsföretaget stöddes av US Cybersecurity and Infrastructure Security Agency.

Enligt informationen som Palo Alto först delade med CNN var minst nio separata enheter som arbetar i dessa känsliga sektorer måltavlor över hela världen, med "minst" en av dessa enheter i USA.

Förberedelserna för attackerna började i mitten av september 2021, med hotaktörer som använde "hyrd infrastruktur" placerad inne i USA för att skanna ett stort antal företagsnätverk efter sårbarheter. Av de hundratals entiteter som skannats tror Palo Alto att minst nio har lyckats överträtts, och att minst en av de framgångsrika överträdelserna var mot en amerikansk organisation.

Angriparna använde en nu patchad sårbarhet i Zoho Corporations programvara ManageEngine. Sårbarheten spårades under CVE-2021-40539-beteckningen.

Eftersom attackvektorn och nyttolasten som användes var desamma för alla riktade organisationer, verkar det som om allt detta utfördes av samma hotaktör. De komprometterade nätverken hade Godzilla-webbskalet laddat upp till dem. I en begränsad pool av mål installerades också en bakdörr.

När verktygen väl hade utplacerats använde hotaktörerna dem för sidorörelse och filexfiltrering. När domänkontrollantåtkomst erhölls av hackarna installerade de också ett verktyg som gjorde det möjligt för dem att stjäla inloggningsuppgifter.

Det finns ingen hård information om angriparnas identitet men enligt Palo Alto är några av de taktiker som används för att infiltrera nätverken i linje med metoderna från en kinesisk hotaktör. Godzilla-webbskalet som användes i attackerna var också den kinesiskspråkiga versionen av verktyget. Cyberspionage är fortfarande ett betydande hot, som den senaste gemensamma upptäckten av Palo Alto och USA:s CISA visar. Organisationer måste skydda både mot pengarhungriga ransomware-aktörer och mot spionageattacker som liknar detta senaste intrång.

November 9, 2021