Keamanan cyber (terbuka di tab baru) detektif telah membagikan detail kampanye peretasan skala besar yang sedang berlangsung yang mengeksploitasi kerentanan kritis, tetapi sudah ditambal, di Zoho pengelola kata sandi bisnis (terbuka di tab baru)untuk mengekstraksi informasi sensitif dari server yang belum ditambal.
Bug, dilacak sebagai CVE-2021-40539 adalah kerentanan eksekusi kode jarak jauh (RCE) yang ada di ZohoPerangkat lunak ManageEngine ADSelfService Plus yang menyediakan keduanya sistem masuk tunggal (terbuka di tab baru) dan manajemen kata sandi (terbuka di tab baru) kemampuan.
Serangan tersebut terdeteksi oleh peneliti keamanan di divisi Unit42 Palo Alto Networks, tepat pada saat US Cybersecurity and Infrastructure Security Agency (CISA) mengeluarkan penasehat keamanan bersama (terbuka di tab baru)bersama dengan FBI, dan Coast Guard Cyber Command (CGCYBER) tentang pelaku ancaman yang mengeksploitasi kerentanan Zoho.
“Melalui telemetri global, kami percaya bahwa aktor tersebut menargetkan setidaknya 370 server Zoho ManageEngine di Amerika Serikat saja. Mengingat skalanya, kami menilai bahwa pemindaian ini sebagian besar bersifat tidak pandang bulu karena target berkisar dari pendidikan hingga entitas Departemen Pertahanan, ” catatan (terbuka di tab baru) para peneliti Unit42 dalam sebuah pos mengungkap modus operandi para pelaku ancaman.
Menurut para peneliti, upaya untuk mengeksploitasi kerentanan Zoho dimulai pada 22 September, setelah pemindaian pengintaian selama lima hari untuk mengidentifikasi target potensial yang belum menambal sistem mereka.
Karena kampanye masih berlangsung, sulit untuk mengukur cakupannya, tetapi para peneliti dapat mengonfirmasi bahwa kampanye tersebut telah membahayakan setidaknya sembilan organisasi di seluruh dunia dari sektor-sektor penting, termasuk pertahanan, perawatan kesehatan, energi, teknologi, dan pendidikan.
“Unit 42 percaya bahwa tujuan utama aktor adalah mendapatkan akses terus-menerus ke jaringan dan pengumpulan serta eksfiltrasi dokumen sensitif dari organisasi yang disusupi,” catat para peneliti.
Setelah mengkompromikan server menggunakan kerentanan Zoho, pelaku ancaman telah diamati mengunggah muatan yang menyebarkan webshell Godzilla, untuk akses terus-menerus ke server yang disusupi.
Shell web kemudian digunakan untuk menggunakan alat tambahan, seperti varian kustom dari sebuah sumber terbuka (terbuka di tab baru) pintu belakang yang disebut NGLite, dan alat pemanen kredensial yang dikenal sebagai KdcSponge.
Para peneliti telah membagikan temuan tersebut dengan anggota Cyber Threat Alliance (CTA) lainnya untuk membantu mereka menerapkan perlindungan bagi masing-masing pelanggan guna mengganggu kampanye.
