Uma campanha ativa de espionagem cibernética que já comprometeu ao menos nove organizações no mundo nos setores de defesa, educação, energia, saúde e tecnologia foi descoberta pela equipe de inteligência em ameaças da Unit 42, da Palo Alto Networks. Segundo os pesquisadores, mais de 11 mil sistemas estão vulneráveis, sendo que as táticas e ferramentas são similares as do grupo chinês Emissary.
“O objetivo da campanha parece ser de manter acesso de longo prazo para facilitar espionagem”, diz o relatório. Segundo a Palo Alto, o relatório é um “call to action” para as organizações identificarem rapidamente servidores rodando com software vulnerável e aplicar os patches o mais rápido possível. “As empresas podem também verificar os IoC [indicadores de comprometimento] no blog da Palo Alto para verificar se foram afetados.”
A Unit 42 descobriu que a campanha de espionagem cibernética que já comprometeu pelo menos 9 organizações globais nos setores de defesa, educação, energia, saúde e tecnologia. De acordo com os pesquisadores, ao menos 370 organizações dos EUA foram incluídas em uma varredura bastante ampla para identificar servidores Zoho vulneráveis. Além disso, a telemetria mostra conexões entre servidores maliciosos e organizações dos EUA, incluindo agências do Departamento de Defesa, contratos de defesa, instituições educacionais e organizações de saúde.
De acordo com varreduras com a plataforma Cortex Xpanse da Palo Alto Networks, existem mais de 11 mil sistemas expostos à internet em todo o mundo executando o software Zoho afetado — as varreduras não indicaram qual porcentagem desses sistemas já foram corrigidos.
Segundo a empresa, o ataque é difícil de detectar e explora vulnerabilidades conhecidas no ManageEngine ADSelfService Plus da Zoho (uma ferramenta de gerenciamento de identidade e acesso) que foram corrigidas pela Zoho em 6 de setembro. Esses ataques começaram em 17 de setembro, um dia depois de a Agência de Cibersegurança de Infraestrutura (CISA) dos EUA ter emitido um alerta sobre outra campanha explorando essas mesmas vulnerabilidades.
Segundo a CISA, em 17 de setembro, o operador da ameaça alavancou a infraestrutura nos Estados Unidos para sondar centenas de organizações vulneráveis através da internet. Posteriormente, as tentativas de exploração começaram em 22 de setembro e provavelmente continuaram no início de outubro. Durante essa janela, ele comprometeu com sucesso ao menos nove entidades globais nos setores de tecnologia, defesa, saúde, energia e educação.
Veja isso
Investigação revela que 25 países usam spyware para espionar seus cidadãos
Hackers roubam logs de antivírus para saber se spyware foi detectado
Após a exploração inicial, uma payload foi carregada na rede de vítimas que instalou um webshell Godzilla. Essa atividade foi consistente em todas as vítimas; entretanto, foi observado também um subconjunto menor de organizações comprometidas que posteriormente receberam uma versão modificada de um novo backdoor chamado NGLite. Os atores da ameaça usaram então o webshell ou payload do NGLite para executar comandos e mover-se lateralmente (internamente) para outros sistemas na rede, enquanto eles extraíam arquivos de interesse simplesmente baixando-os do servidor web. Uma vez que os atores se deslocaram para um controlador de domínio, instalaram uma nova ferramenta de roubo de credenciais que a Unit 42 rastreou como KdcSponge.
Tanto o Godzilla quanto o NGLite foram desenvolvidos com instruções chinesas e estão disponíveis ao público para download no GitHub. Acreditamos que os hackers implantaram estas ferramentas em combinação como uma forma de redundância para manter o acesso a redes de alto interesse. O Godzilla é um webshell rico em funcionalidades que analisa as solicitações de entrada HTTP POST, descriptografa os dados com uma chave secreta, executa o conteúdo descriptografado para realizar funcionalidades adicionais e retorna o resultado através de uma resposta HTTP. Isto permite que os atacantes mantenham o código provavelmente marcado como malicioso fora do sistema alvo até que eles estejam prontos para executá-lo dinamicamente.
NGLite é caracterizado por seu autor como um “programa de controle remoto anônimo de plataforma cruzada baseado na tecnologia blockchain”. Ele aproveita a infraestrutura New Kind of Network (NKN) para suas comunicações de comando e controle (C&C), o que teoricamente resulta em anonimato para seus usuários. É importante observar que a NKN é um serviço de rede legítimo que utiliza a tecnologia de blockchain para suportar uma rede descentralizada de peers. O uso da NKN como um canal C&C é muito incomum. Foram vistas apenas 13 amostras se comunicando com a NKN ao todo – nove amostras NGLite e quatro relacionadas a um utilitário legítimo de código aberto chamado Surge que usa a NKN para compartilhamento de arquivos.
Por fim, a KdcSponge é uma nova ferramenta de roubo de credenciais que é utilizada contra controladores de domínio para roubar credenciais. A KdcSponge se injeta no processo LSASS (Local Security Authority Subsystem Service) e irá pegar funções específicas para reunir nomes de usuário e senhas de contas que tentam autenticar o domínio via Kerberos. O código malicioso escreve credenciais roubadas em um arquivo, mas depende de outras capacidades de exfiltração.
