安全研究人员报告黑客攻击敏感目标

Palo Alto Networks 的安全研究人员报告了令人不安的调查结果,这些发现涉及黑客试图破坏在国防、医疗保健和能源等敏感领域工作的目标实体。该安全公司进行的调查得到了美国网络安全和基础设施安全局的支持。

根据帕洛阿尔托首次与 CNN 分享的信息,至少有 9 个在这些敏感部门工作的独立实体在全球范围内成为攻击目标,其中“至少”一个实体位于美国。

攻击准备工作于 2021 年 9 月中旬开始,攻击者使用位于美国境内的“租用基础设施”扫描大量公司网络中的漏洞。在扫描的数百个实体中,Palo Alto 认为至少有 9 个被成功入侵,并且至少有一个成功的入侵是针对美国组织的。

攻击者使用了 Zoho Corporation 的 ManageEngine 软件中现已修补的漏洞。该漏洞是在 CVE-2021-40539 标记下跟踪的。

由于所有目标组织使用的攻击向量和有效载荷都相同,因此这似乎都是由同一个威胁参与者执行的。受感染的网络将哥斯拉 webshell 上传到他们。在有限的目标池中,还安装了后门。

一旦部署了这些工具,威胁行为者就会使用它们进行横向移动和文件泄露。当黑客获得域控制器访问权限时,他们还安装了一个工具,允许他们窃取登录凭据。

没有关于攻击者身份的确切信息,但根据 Palo Alto 的说法,一些用于渗透网络的策略与中国威胁参与者的方法一致。攻击中使用的哥斯拉 web shell 也是该工具的中文版本。网络间谍活动仍然是一个重大威胁,就像帕洛阿尔托和美国 CISA 的最新联合发现一样。组织需要防范贪得无厌的勒索软件攻击者和类似于这次最新漏洞的间谍攻击。

November 9, 2021