Threat Group se dirige nuevamente al proveedor de plataforma en la nube Zoho - Calendae | Informática, Electrónica, CMS, Ciberseguridad

Threat Group se dirige nuevamente al proveedor de plataforma en la nube Zoho

Hola y mil gracias por leerme. Te escribe Eduardo Arroyo y en esta ocasión te voy a contar sobre Threat Group se dirige nuevamente al proveedor de plataforma en la nube Zoho

Threat Group se dirige nuevamente al proveedor de plataforma en la nube Zoho

Los atacantes que antes tenían como objetivo al proveedor de la plataforma en la nube han cambiado su enfoque a otros productos de la cartera de la empresa.

Los adversarios respaldados por el estado han expandido los ataques a la empresa de plataforma en la nube Zoho y su software ManageEngine ServiceDesk Plus, una solución de administración de recursos y mesa de ayuda. Una campaña reciente marca un aumento en los ataques a la plataforma de la compañía, que también se han dirigido a ADSelfService Plus de Zoho en el pasado.

Esta campaña más reciente, informada por Unidad 42 de Palo Alto Networks esta semana, encaja con las advertencias en septiembre por parte del FBI, CISA y el Comando Cibernético de la Guardia Costera de los Estados Unidos (CGCYBER) de ataques similares. Ese objetivo incluyó un APT no especificado que explota una vulnerabilidad de día cero en la solución de administración de contraseñas de Zoho llamada ADSelfService Plus.

Según los investigadores, la APT ha cambiado su enfoque a las organizaciones que ejecutan ManageEngine ServiceDesk Plus de Zoho. Los ataques recientes aumentan el número de víctimas recientes de Zoho afectadas por la APT de nueve a 13.

En el informe de la Unidad 42, escrito por Robert Falcone y Peter Renals, los investigadores dijeron que la actividad más reciente fue monitoreada entre fines de octubre y noviembre. Durante ese tiempo, los atacantes comenzaron los esfuerzos de reconocimiento contra una organización financiera estadounidense que ejecutaba una versión vulnerable de ManageEngine ServiceDesk Plus, escribieron.

«Durante los días siguientes, observamos una actividad similar en otras seis organizaciones, con explotación contra una organización de defensa estadounidense y una organización tecnológica a partir del 3 de noviembre», dijeron los investigadores.

La Unidad 42 ahora está monitoreando los dos frentes de ataque activos contra ManageEngine de Zoho como la campaña «TitledTemple» y tiene evidencia para creer que los atacantes son de China, aunque «la atribución aún está en curso», dijeron los investigadores.

En noviembre, la Unidad 42 dijo haber observado correlaciones entre las tácticas y herramientas utilizadas en las campañas ADSelfService Plus y Threat Group 3390, también conocido como TG-3390 y Emissary Panda o APT27.

Los hallazgos del Microsoft Threat Intelligence Center (MSTIC) vincularon los ataques de Zoho de septiembre dirigidos a su ManageEngine ADSelfService Plus y también sospechan que el actor de amenazas DEV-0322 está detrás de la campaña. El grupo de amenazas persistentes avanzadas opera fuera de China, según los investigadores de amenazas de Microsoft.

El 22 de noviembre, Zoho lanzó un aviso de seguridad advertir a los clientes de la explotación activa contra nuevos registros CVE-2021-44077 que se encuentra en Manage Engine ServiceDesk Plus, una mesa de ayuda y software de administración de recursos.

La vulnerabilidad, que permite la ejecución remota de código no autenticado, afecta a las versiones 11305 y anteriores de ServiceDesk Plus. Los investigadores de la Unidad 42 creen que los atacantes aprovecharon este error en versiones sin parche, aunque no encontraron ningún código de prueba de concepto disponible públicamente para un exploit.

Los investigadores también observaron que la APT carga un nuevo cuentagotas en los sistemas de la víctima que, similar a los ataques ADSelfService, implementa un webshell Godzilla, dijeron. Esto «proporciona al actor acceso adicional y persistencia en sistemas comprometidos», dijeron los investigadores.

Sin embargo, aunque los atacantes utilizaron la misma clave secreta de webshell, 5670ebd1f8f3f716, en ambos ataques de TiltedTemple, el webshell de Godzilla utilizado en el ataque ServiceDesk Plus que los investigadores observaron no era un solo archivo Java Server Pages (JSP), que se vio primero.

En cambio, el webshell se instaló como un filtro de servlet Java de Apache Tomcat, que permite filtrar las solicitudes entrantes o las respuestas salientes. «En este caso particular, esto permite al actor filtrar las solicitudes entrantes para determinar qué solicitudes están destinadas al webshell», explicaron los investigadores.

«El actor de amenazas parece tener un apalancamiento disponible públicamente código llamó tomcat-backdoor para construir el filtro y luego le agregaron un webshell Godzilla modificado «, escribieron los investigadores, y agregaron que el uso de una herramienta disponible públicamente con documentación escrita en chino se ajusta al perfil de actor que los investigadores ya habían observado.

Este cambio también significó un par de cosas para la táctica utilizada en los ataques, dijeron. El hecho de que el webshell de Godzilla esté instalado como filtro significa que no hay una URL específica a la que el actor envíe sus solicitudes cuando interactúe con el webshell, explicaron los investigadores. Además, el filtro webshell de Godzilla también puede eludir un filtro de seguridad presente en ServiceDesk Plus para detener el acceso a los archivos webshell, afirmaron.

Los investigadores utilizaron las capacidades de Xpanse para descubrir la escala del problema, y ​​encontraron que actualmente hay más de 4.700 instancias de ServiceDesk Plus conectadas a Internet en todo el mundo, con 2.900, o el 62%, vulnerables a la explotación.

«A la luz de estos desarrollos recientes, avanzaríamos nuestra caracterización de amenazas a la de una APT que lleva a cabo una campaña persistente y aprovecha una variedad de vectores de acceso temprano para comprometer un conjunto diverso de objetivos globales», escribieron los investigadores.

Hasta ahora, las organizaciones que han sido atacadas abarcan múltiples sectores, incluidos los de tecnología, energía, salud, educación, finanzas y defensa. De las cuatro nuevas víctimas de la campaña descubierta originalmente, que tenía como objetivo nueve organizaciones, dos se vieron comprometidas a través de servidores ADSelfService Plus vulnerables, mientras que dos se vieron comprometidas a través del software ServiceDesk Plus, dijeron.

«Esperamos que este número aumente a medida que el actor continúe realizando actividades de reconocimiento contra estas industrias y otras, incluida la infraestructura asociada en cinco estados de EE. UU.», Advirtieron los investigadores.

.

Puedes compartir en en tu Twitter y Facebook para que tus colegas lo disfruten

??? ? ? ???

Comparte

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *