La empresa de ciberseguridad Palo Alto Networks ha advertido, este fin de semana, de una campaña de piratería informática que ya ha puesto en peligro al menos a nueve organizaciones de sectores críticos de todo el mundo, como defensa, sanidad, energía, tecnología y educación.
Para vulnerar las redes de las organizaciones, los actores de la amenaza detrás de esta campaña de ciberespionaje explotaron una vulnerabilidad crítica (CVE-2021-40539) en la solución de gestión de contraseñas empresariales de Zoho, conocida como ManageEngine ADSelfService Plus, que permite ejecutar código de forma remota en sistemas no parcheados sin autenticación.
Los ataques observados por los investigadores de Palo Alto Networks comenzaron el 17 de septiembre con escaneos de servidores vulnerables, nueve días después de que la Agencia de Ciberseguridad y Seguridad de las Infraestructuras de los Estados Unidos (CISA) advirtiera que había detectado exploits utilizados en la naturaleza y un día después de que la CISA, el FBI y el Mando Cibernético de la Guardia Costera de los Estados Unidos (CGCYBER) publicaran un aviso conjunto.
Los intentos de explotación comenzaron el 22 de septiembre, tras cinco días de recolección de información sobre objetivos potenciales que aún no habían parcheado sus sistemas.
Tras el aviso conjunto, los investigadores observaron otra serie de ataques no relacionados que no lograron comprometer a sus objetivos, lo que apunta a que es probable que otros grupos de hackers respaldados por el Estado o con motivación económica se unan para explotar a las empresas que utilizan los servidores de Zoho.
En este momento, según los escaneos de Palo Alto Networks, hay más de 11.000 servidores expuestos a Internet que ejecutan el software vulnerable de Zoho – actualmente se desconoce cuántos de estos sistemas han sido parcheados.
Después de haber conseguido introducirse en los sistemas de sus víctimas utilizando los exploits CVE-2021-40539, los actores de la amenaza desplegaron primero un dropper de malware que entregaba Godzilla web shells en los servidores comprometidos para obtener y mantener el acceso a las redes de las víctimas, así como malware, incluyendo un backdoor de código abierto conocido como NGLite.
También utilizaron KdcSponge, un malware conocido como ladrón de credenciales, que se engancha a las funciones de la API de Windows LSASS para capturar credenciales (es decir, nombres de dominio, nombres de usuario y contraseñas) que posteriormente se envían a servidores controlados por el atacante.
Aunque los investigadores están trabajando para atribuir estos ataques a un grupo depiratas informáticos específico, sospechan que es obra de un grupo de amenazas patrocinado por China, conocido como APT27 (también rastreado como TG-3390, Emissary Panda, BRONZE UNION, Iron Tiger y LuckyMouse).
La atribución parcial se basa en las herramientas y tácticas maliciosas utilizadas en esta campaña que coinciden con la actividad previa de APT27 como grupo de hacking activo desde al menos 2010 y que tiene como objetivo la misma gama de sectores industriales (por ejemplo, defensa, tecnología, energía, aeroespacial, gobierno y fabricación) en campañas de ciberespionaje.
Spanish
English
Portuguese
Chinese (Simplified)
Russian
French
German
Dutch
Italian