-
09/04/2020
-
85
-
556 bài viết
Tin tặc được chính phủ hậu thuẫn tấn công các tổ chức trên thế giới
Công ty an ninh mạng Palo Alto Networks đã cảnh báo về một cuộc tấn công đang diễn ra tại ít nhất 9 tổ chức trên thế giới, thuộc các lĩnh vực quan trọng như: quốc phòng, y tế, năng lượng, công nghệ và giáo dục.
Để xâm phạm hệ thống mạng của tổ chức, hacker đã khai thác một lỗ hổng nghiêm trọng CVE-2021-40539 trong giải pháp quản lý mật khẩu doanh nghiệp của Zoho, được gọi là ManageEngine ADSelfService Plus, cho phép thực thi mã từ xa trên các hệ thống mà không cần xác thực.
Các cuộc tấn công bắt đầu vào ngày 17 tháng 9 với việc quét các máy chủ tồn tại lỗ hổng, 9 ngày sau khi Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) cảnh báo đã phát hiện các hành vi khai thác trong thực tế.
Ít nhất 9 tổ chức về công nghệ, quốc phòng, chăm sóc sức khỏe, năng lượng và giáo dục đã bị tấn công. Có thể hacker đã nhắm mục tiêu gần 370 máy chủ Zoho ManageEngine chỉ riêng ở Hoa Kỳ. Với quy mô này, các nhà nghiên cứu dự đoán kẻ tấn công đang không có chủ đích vì các mục tiêu nằm trong phạm vi trải dài trên nhiều lĩnh vực.
Sau khuyến cáo, các chuyên gia an ninh mạng quan sát thấy một loạt các cuộc tấn công khác cũng sử dụng máy chủ Zoho. Đặc biệt, các cuộc tấn công nàycó vẻ liên quan đến các nhóm hacker được nhà nước hậu thuẫn hoặc có động cơ tài chính.
Hiện tại, theo thống kê của Palo Alto Networks, có hơn 11.000 máy chủ đang chạy phần mềm Zoho có nguy cơ bị tấn công và chưa biết chính xác bao nhiêu trong số này đã được vá.
Mục tiêu là thông tin đăng nhập
Sau khi xâm nhập bằng cách khai thác CVE-2021-40539, hacker sẽ triển khai một phần mềm độc hại phân phối các trình duyệt web Godzilla trên các máy chủ bị xâm nhập để duy trì quyền truy cập vào mạng của nạn nhân, bao gồm một backdoor open-source có tên NGLite.
Chúng cũng sử dụng KdcSponge, phần mềm độc hại đánh cắp thông tin xác thực, kết nối với API của Windows LSASS để nắm bắt thông tin tên miền, tên người dùng và mật khẩu. Thông tin sau đó được gửi đến các máy chủ của hacker.
Các nhà nghiên cứu phát hiện: "Sau khi có được quyền truy cập vào máy chủ nạn nhân, hacker sẽ thu thập và lọc thông tin nhạy cảm từ bộ điều khiển miền cục bộ, chẳng hạn như việc đăng ký quản lý dữ liệu từ SYSTEM".
Các cuộc tấn công bị nghi vấn liên quan đến nhóm APT27 (Trung Quốc)
Các chuyên gia an ninh mạng nghi ngờ đứng sau các cuộc tấn công này là nhóm APT27 được chính phủ Trung Quốc hậu thuẫn (bên cạnh đó còn có cả TG-3390, Emissary Panda, BRONZE UNION, Iron Tiger, và LuckyMouse).
Vào đầu tháng 3, APT27 cũng có liên quan đến các cuộc tấn công khai thác lỗ hổng nghiêm trọng ProxyLogon để thực thi mã từ xa mà không cần xác thực trên các máy chủ Microsoft Exchange.
Hoa Kỳ, Liên minh châu Âu, Vương quốc Anh và NATO cũng lên tiếng và muốn Trung Quốc thừa nhận hành động tấn công Microsoft Exchange trong năm qua.
Để xâm phạm hệ thống mạng của tổ chức, hacker đã khai thác một lỗ hổng nghiêm trọng CVE-2021-40539 trong giải pháp quản lý mật khẩu doanh nghiệp của Zoho, được gọi là ManageEngine ADSelfService Plus, cho phép thực thi mã từ xa trên các hệ thống mà không cần xác thực.
Các cuộc tấn công bắt đầu vào ngày 17 tháng 9 với việc quét các máy chủ tồn tại lỗ hổng, 9 ngày sau khi Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) cảnh báo đã phát hiện các hành vi khai thác trong thực tế.
Ít nhất 9 tổ chức về công nghệ, quốc phòng, chăm sóc sức khỏe, năng lượng và giáo dục đã bị tấn công. Có thể hacker đã nhắm mục tiêu gần 370 máy chủ Zoho ManageEngine chỉ riêng ở Hoa Kỳ. Với quy mô này, các nhà nghiên cứu dự đoán kẻ tấn công đang không có chủ đích vì các mục tiêu nằm trong phạm vi trải dài trên nhiều lĩnh vực.
Sau khuyến cáo, các chuyên gia an ninh mạng quan sát thấy một loạt các cuộc tấn công khác cũng sử dụng máy chủ Zoho. Đặc biệt, các cuộc tấn công nàycó vẻ liên quan đến các nhóm hacker được nhà nước hậu thuẫn hoặc có động cơ tài chính.
Hiện tại, theo thống kê của Palo Alto Networks, có hơn 11.000 máy chủ đang chạy phần mềm Zoho có nguy cơ bị tấn công và chưa biết chính xác bao nhiêu trong số này đã được vá.
Mục tiêu là thông tin đăng nhập
Sau khi xâm nhập bằng cách khai thác CVE-2021-40539, hacker sẽ triển khai một phần mềm độc hại phân phối các trình duyệt web Godzilla trên các máy chủ bị xâm nhập để duy trì quyền truy cập vào mạng của nạn nhân, bao gồm một backdoor open-source có tên NGLite.
Chúng cũng sử dụng KdcSponge, phần mềm độc hại đánh cắp thông tin xác thực, kết nối với API của Windows LSASS để nắm bắt thông tin tên miền, tên người dùng và mật khẩu. Thông tin sau đó được gửi đến các máy chủ của hacker.
Các nhà nghiên cứu phát hiện: "Sau khi có được quyền truy cập vào máy chủ nạn nhân, hacker sẽ thu thập và lọc thông tin nhạy cảm từ bộ điều khiển miền cục bộ, chẳng hạn như việc đăng ký quản lý dữ liệu từ SYSTEM".
Các cuộc tấn công bị nghi vấn liên quan đến nhóm APT27 (Trung Quốc)
Các chuyên gia an ninh mạng nghi ngờ đứng sau các cuộc tấn công này là nhóm APT27 được chính phủ Trung Quốc hậu thuẫn (bên cạnh đó còn có cả TG-3390, Emissary Panda, BRONZE UNION, Iron Tiger, và LuckyMouse).
Vào đầu tháng 3, APT27 cũng có liên quan đến các cuộc tấn công khai thác lỗ hổng nghiêm trọng ProxyLogon để thực thi mã từ xa mà không cần xác thực trên các máy chủ Microsoft Exchange.
Hoa Kỳ, Liên minh châu Âu, Vương quốc Anh và NATO cũng lên tiếng và muốn Trung Quốc thừa nhận hành động tấn công Microsoft Exchange trong năm qua.
Theo bleepingcomputer