Musuh yang didukung
State memperluas serangan terhadap perusahaan platform cloud Zoho dan perangkat lunak ManageEngine ServiceDesk Plus, sebuah meja bantuan dan solusi manajemen aset. Kampanye baru-baru ini menandai peningkatan serangan terhadap platform perusahaan, yang juga mencakup penargetan sebelumnya dari ADSSelfService Plus.
.Kampanye terbaru ini, yang dilaporkan oleh Palo Alto Networks Unit 42 minggu ini, melengkapi peringatan pada bulan September oleh FBI, CISA, dan US Coast Guard Cyber Command (CGCYBER) dari serangan serupa. Penargetan tersebut mencakup APT yang tidak ditentukan yang mengeksploitasi kerentanan zero-day saat itu dalam solusi manajemen kata sandi Zoho yang disebut ADSelfService Plus.
Menurut para peneliti, APT mengalihkan fokusnya ke organisasi yang menjalankan ManageEngine ServiceDesk Plus Zoho. Serangan baru-baru ini menambah jumlah korban Zoho baru-baru ini yang terkena dampak APT dari sembilan menjadi 13.
Dalam laporan Unit 42, yang ditulis oleh Robert Falcone dan Peter Renals, para peneliti mengatakan aktivitas terbaru dilacak antara akhir Oktober dan November. Selama waktu itu, penyerang memulai upaya pengintaian terhadap organisasi keuangan AS yang menjalankan versi rentan dari ManageEngine ServiceDesk Plus, tulis mereka.
“Pada hari-hari berikutnya, kami mengamati aktivitas serupa di enam organisasi lain, dengan eksploitasi terhadap satu organisasi pertahanan AS dan satu organisasi teknologi yang dimulai pada 3 November,” kata para peneliti.
Unit 42 sekarang melacak dua serangan aktif terhadap ManageEngine Zoho sebagai kampanye “TitledTemple” dan memiliki bukti untuk meyakini bahwa penyerang berasal dari China, meskipun “atribusi adalah masih berlangsung,” kata para peneliti.
Kembali pada bulan November, Unit 42 mengatakan mereka mengamati korelasi antara taktik dan alat yang digunakan dalam kampanye ASelfService Plus dan Grup Ancaman 3390, juga dikenal sebagai TG-3390 dan Utusan Panda atau APT27.
Temuan oleh Microsoft Threat Intelligence Center (MSTIC) mengikat serangan Zoho September yang menargetkan ManageEngine ADSelfService Plus juga ditangguhkan dll aktor ancaman DEV-0322 berada di belakang kampanye. Grup ancaman persisten tingkat lanjut beroperasi di luar China, menurut peneliti ancaman Microsoft.
Instalasi ServiceDesk Plus yang Tidak Ditambal Di Bawah Attack
Pada 22 November, Zoho merilis peringatan keamanan yang memperingatkan pelanggan tentang eksploitasi aktif terhadap CVE-2021-44077 yang baru terdaftar yang ditemukan di Manage Engine ServiceDesk Plus, meja bantuan dan perangkat lunak manajemen aset.
Kerentanan, yang memungkinkan eksekusi kode jarak jauh yang tidak diautentikasi, memengaruhi ServiceDesk Plus versi 11305 dan di bawahnya. Peneliti Unit 42 percaya bahwa penyerang telah mengeksploitasi bug ini dalam versi yang belum ditambal, meskipun mereka belum menemukan bukti kode konsep yang tersedia untuk umum untuk suatu exploit.
Peneliti juga telah mengamati APT mengunggah penetes baru ke sistem korban yang, mirip dengan Serangan ADSelfService, menyebarkan webshell Godzilla, kata mereka. Ini “memberikan aktor akses lebih lanjut ke dan ketekunan dalam sistem yang disusupi,” kata peneliti.
Namun, meskipun penyerang menggunakan kunci rahasia webshell yang sama – 5670ebd1f8f3f716 – di kedua serangan TiltedTemple, webshell Godzilla yang digunakan dalam serangan ServiceDesk Plus yang diamati oleh para peneliti adalah bukan file Java Server Pages (JSP) tunggal, yang terlihat sebelumnya.
Sebaliknya, webshell diinstal sebagai Apache Tomcat Java Servlet Filter, yang memungkinkan pemfilteran permintaan masuk atau respons keluar. “Dalam kasus khusus ini, ini memungkinkan aktor untuk memfilter permintaan masuk untuk menentukan permintaan mana yang dimaksudkan untuk webshell,” jelas peneliti.
“Tampaknya aktor ancaman memanfaatkan kode yang tersedia untuk umum yang disebut tomcat-backdoor untuk membuat filter dan kemudian menambahkan cangkang web Godzilla yang dimodifikasi ke dalamnya,” tulis para peneliti, menambahkan bahwa penggunaan alat yang tersedia untuk umum dengan dokumentasi yang ditulis dalam bahasa Mandarin cocok dengan profil aktor yang telah diamati oleh para peneliti.
Perubahan ini juga menandakan beberapa hal untuk taktik yang digunakan dalam serangan itu, kata mereka. Fakta bahwa webshell Godzilla diinstal sebagai filter berarti bahwa tidak ada URL spesifik yang akan dikirimi permintaan aktor saat berinteraksi dengan webshell, jelas peneliti. Selain itu, filter webshell Godzilla juga dapat mengabaikan filter keamanan yang ada di ServiceDesk Plus untuk menghentikan akses ke file webshell, kata mereka. saat ini lebih dari 4.700 instance ServiceDesk Plus yang terhubung ke internet secara global, dengan 2.900, atau 62 persen, rentan terhadap eksploitasi.
“Mengingat perkembangan terakhir ini, kami akan memajukan karakterisasi kami tentang ancaman menjadi APT(s) melakukan kampanye yang gigih, dan memanfaatkan berbagai vektor akses awal, untuk mengkompromikan serangkaian target yang beragam secara global,” tulis para peneliti.
Sejauh ini, organisasi yang telah diserang terdiri dari berbagai sektor, termasuk teknologi, energi, perawatan kesehatan, pendidikan, keuangan dan industri pertahanan. Dari empat korban baru sejak kampanye yang pertama kali ditemukan—yang menargetkan sembilan organisasi—dua dikompromikan melalui server ADSelfService Plus yang rentan sementara dua dikompromikan melalui perangkat lunak ServiceDesk Plus, kata mereka. kegiatan pengintaian terhadap industri ini dan lainnya, termasuk infrastruktur yang terkait dengan lima negara bagian AS,” para peneliti memperingatkan.
Ada lautan data tidak terstruktur di internet yang berkaitan dengan ancaman keamanan terbaru. DAFTAR HARI INI untuk mempelajari konsep kunci pemrosesan bahasa alami (NLP) dan cara menggunakannya untuk menavigasi lautan data dan menambahkan konteks ke ancaman keamanan siber (tanpa menjadi ahli!). Balai Kota Threatpost interaktif LANGSUNG ini, disponsori oleh Rapid 7, akan menampilkan peneliti keamanan Erick Galinkin dari Rapid7 dan Izzy Lazerson dari IntSights (perusahaan Rapid7), ditambah jurnalis Threatpost dan pembawa acara webinar, Becky Bracken.
Daftar SEKARANG untuk acara LANGSUNG!
Write sebuah komentar
Bagikan artikel ini:
- iKeamanan Web