Neste fim de semana, a empresa de segurança cibernética Palo Alto Networks divulgou uma análise detalhada de uma campanha de hacking em andamento voltada para os setores de tecnologia, defesa, saúde, energia e educação. O ataque tem como alvo o sistema de gerenciamento de senha ManageEngine ADSelfService Plus da Zoho e usa a vulnerabilidade CVE-2021-40539 para obter a execução remota de código nos servidores afetados.
A Agência de Segurança Cibernética e de Infraestrutura dos Estados Unidos (CISA) divulgou um alerta sobre os ataques em andamento em 16 de setembro. Desde então, a Palo Alto Networks tem monitorado os ataques e descobriu que “pelo menos nove entidades globais” foram comprometidos em cerca de 370 sistemas vulneráveis.
Uma vez que os invasores obtiveram acesso, eles iriam cair no shell da web do Godzilla e, às vezes, na porta dos fundos do NGLite. Usando as funções fornecidas por essas ferramentas, os invasores cruzaram as redes para encontrar controladores de domínio, onde instalariam o que Palo Alto chama de “KdcSponge”, uma nova ferramenta de roubo de credenciais. De acordo com a Palo Alto Networks, o objetivo dos invasores parecia ser principalmente abrir um buraco e manter o acesso a essas redes, embora dados privilegiados também fossem roubados.
Godzilla é um webshell como muitos outros, permitindo acesso remoto à máquina comprometida por meio de solicitações HTTP. O principal recurso exclusivo desse shell específico é que ele usa criptografia AES para todo o tráfego de rede. Isso, junto com vários outros aspectos de seu design, confere a ele uma taxa de detecção extremamente baixa em toda a gama de produtos de segurança no mercado.
Enquanto isso, o NGLite é um trojan de backdoor que só aceitará comandos por meio de seu canal de comando e controle (C2). Isso não é incomum por si só, mas o canal C2 da NGLite é: ele usa o blockchain descentralizado New Kind of Network (NKN) para se comunicar entre o sistema comprometido e os atores da ameaça. Devido à natureza descentralizada do NKN, é muito difícil bloquear ou detectar o acesso ao NGLite após a infecção.
Por fim, o KdcSponge é uma nova ferramenta aparentemente criada pelos agentes de ameaças por trás desses ataques e se conecta ao Serviço de Subsistema de Autoridade de Segurança Local (LSASS) do Windows para credenciais de cobra. Ele usa funções API não documentadas no módulo Kerberos para fazer isso. Depois que as credenciais são roubadas, ele as grava em um formato criptografado simples em um arquivo chamado “system.dat”, onde podem ser recuperadas por uma das outras ferramentas.
A Palo Alto Networks não deseja creditar os ataques a qualquer agência ou grupo em particular, mas observa que a metodologia para esses ataques corresponde exatamente à do “Grupo de Ameaças 3390”, também conhecido como Panda Emissário, APT27, Tigre de Ferro, União de Bronze e outros nomes. TG-3390 é um grupo de ameaça patrocinado pelo governo chinês. Se você acha que foi afetado por esses ataques, Palo Alto tem um endereço de e-mail para você entrar em contato no final de sua postagem no blog.