Los piratas informáticos estatales violan las organizaciones de defensa, energía y salud en todo el mundo

Los piratas informáticos estatales violan las organizaciones de defensa, energía y salud en todo el mundo

La firma de ciberseguridad Palo Alto Networks advirtió durante el fin de semana sobre una campaña de piratería en curso que ya ha comprometido al menos nueve organizaciones en todo el mundo de sectores críticos, incluyendo defensa, salud, energía, tecnología y educación.

Para violar las redes de las organizaciones, los actores de amenazas detrás de esta campaña de ciberespionaje explotaron una vulnerabilidad crítica ( CVE-2021-40539 ) en la solución de administración de contraseñas empresariales de Zoho conocida como ManageEngine ADSelfService Plus, que permite ejecutar código de forma remota en sistemas no parcheados sin autenticación.

Los ataques observados por los investigadores de Palo Alto Networks comenzaron el 17 de septiembre con escaneos de servidores vulnerables, nueve días después de que la Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos (CISA) advirtiera que detectaba exploits utilizados en la naturaleza  y un día después de que CISA publicara un aviso conjunto. , el FBI y el Comando Cibernético de la Guardia Costera de los Estados Unidos (CGCYBER).

Los intentos de explotación comenzaron el 22 de septiembre después de cinco días de recopilar información sobre objetivos potenciales que aún no habían parcheado sus sistemas.

"Si bien carecemos de información sobre la totalidad de las organizaciones que fueron explotadas durante esta campaña, creemos que, a nivel mundial, al menos nueve entidades de las industrias de tecnología, defensa, salud, energía y educación se vieron comprometidas", dijeron los investigadores.

"A través de la telemetría global, creemos que el actor apuntó al menos a 370 servidores Zoho ManageEngine solo en los Estados Unidos. Dada la escala, evaluamos que estos escaneos fueron en gran medida indiscriminados por naturaleza, ya que los objetivos iban desde la educación hasta las entidades del Departamento de Defensa".

Después de la advertencia conjunta, los investigadores observaron otra serie de ataques no relacionados que no pudieron comprometer sus objetivos, lo que sugiere que otros grupos de piratería respaldados por el estado o motivados financieramente probablemente se unan para explotar empresas que utilizan servidores de Zoho.

En este momento, según los escaneos de Palo Alto Networks, hay más de 11,000 servidores expuestos a Internet que ejecutan el software vulnerable de Zoho; actualmente se desconoce cuántos de estos sistemas se han parcheado.

Objetivos de credenciales, persistencia

Después de establecerse con éxito en los sistemas de sus víctimas utilizando exploits CVE-2021-40539, los actores de amenazas primero implementaron un dropper de malware que entregó shells web de Godzilla en servidores comprometidos para obtener y mantener el acceso a las redes de las víctimas, así como al malware. incluyendo una puerta trasera de código abierto conocida como NGLite.

También utilizaron KdcSponge, malware conocido como credential stealer, que se conecta a las funciones de la API de Windows LSASS para capturar credenciales (es decir, nombres de dominio, nombres de usuario y contraseñas) que luego se envían a servidores controlados por atacantes.

"Después de obtener acceso al servidor inicial, los actores centraron sus esfuerzos en recopilar y extraer información confidencial de los controladores de dominio locales, como el archivo de base de datos de Active Directory (ntds.dit) y la colmena SYSTEM del registro", encontraron los investigadores.

 

"En última instancia, el actor estaba interesado en robar credenciales, mantener el acceso y recopilar archivos confidenciales de las redes de las víctimas para su exfiltración".

Ataques vinculados a hackers estatales chinos APT27

Aunque los investigadores están trabajando para atribuir estos ataques a un grupo de piratería específico, sospechan que este es el trabajo de un grupo de amenazas patrocinado por China conocido como  APT27 (también rastreado como TG-3390, Emissary Panda, BRONZE UNION, Iron Tiger, y LuckyMouse).

La atribución parcial se basa en herramientas y tácticas maliciosas utilizadas en esta campaña que coinciden con la actividad anterior de APT27 como grupo de piratería activo desde al menos 2010 y que se dirige al mismo rango de sectores industriales (por ejemplo, defensa, tecnología, energía, aeroespacial, gobierno y fabricación) en campañas de ciberespionaje.

El informe de Palo Alto Networks también incluye análisis de socios del gobierno de EE. UU., Incluido el Centro de colaboración en seguridad cibernética de la NSA, un componente diseñado para prevenir y bloquear las amenazas cibernéticas extranjeras a los Sistemas de seguridad nacional (NSS), el Departamento de Defensa y la Base Industrial de Defensa (DIB). con la ayuda de socios de la industria privada.

A principios de marzo,  APT27 también se vinculó a ataques que explotan errores críticos (denominados ProxyLogon) para lograr la ejecución remota de código sin autenticación en servidores locales de Microsoft Exchange sin parches en todo el mundo.

Estados Unidos y sus aliados, incluida la Unión Europea, el Reino Unido y la OTAN, culparon a China oficialmente de la campaña de piratería de Microsoft Exchange generalizada de este año.

 

No Comments

Post A Comment

× Contáctanos