安全研究人員報告黑客攻擊敏感目標

Palo Alto Networks 的安全研究人員報告了令人不安的發現,這些發現涉及黑客試圖破壞在國防、醫療保健和能源等敏感領域工作的目標實體。該安全公司進行的調查得到了美國網絡安全和基礎設施安全局的支持。

根據帕洛阿爾托首次與 CNN 分享的信息,至少有 9 個在這些敏感部門工作的獨立實體在全球範圍內成為攻擊目標,其中“至少”一個實體位於美國。

攻擊準備工作於 2021 年 9 月中旬開始,攻擊者使用位於美國境內的“租用基礎設施”掃描大量公司網絡中的漏洞。在掃描的數百個實體中,Palo Alto 認為至少有 9 個被成功入侵,並且至少有一個成功的入侵是針對美國組織的。

攻擊者使用了 Zoho Corporation 的 ManageEngine 軟件中現已修補的漏洞。該漏洞是在 CVE-2021-40539 標記下跟踪的。

由於所有目標組織使用的攻擊向量和有效載荷都相同,因此這似乎都是由同一個威脅參與者執行的。受感染的網絡將哥斯拉 webshell 上傳到他們。在有限的目標池中,還安裝了後門。

一旦部署了這些工具,威脅行為者就會使用它們進行橫向移動和文件洩露。當黑客獲得域控制器訪問權限時,他們還安裝了一個工具,允許他們竊取登錄憑據。

沒有關於攻擊者身份的確切信息,但根據 Palo Alto 的說法,一些用於滲透網絡的策略與中國威脅參與者的方法一致。攻擊中使用的哥斯拉 web shell 也是該工具的中文版本。網絡間諜活動仍然是一個重大威脅,就像帕洛阿爾托和美國 CISA 的最新聯合發現一樣。組織需要防範貪得無厭的勒索軟件攻擊者和類似於這次最新漏洞的間諜攻擊。

November 9, 2021