Microsoft: Peretas China menargetkan perangkat lunak Zoho ManageEngine
Security

Microsoft: Peretas China menargetkan perangkat lunak Zoho ManageEngine

Microsoft telah mengirimkan peringatan tentang kelompok peretas China canggih yang menargetkan bug yang tidak jelas di perangkat lunak Zoho untuk menginstal webshell.

Microsoft Threat Intelligence Center (MSTIC) telah mendeteksi eksploitasi yang menargetkan sistem yang menjalankan Zoho ManageEngine ADSelfService Plus, manajemen kata sandi swalayan dan solusi sistem masuk tunggal, dengan bug eksekusi kode jarak jauh dilacak sebagai CVE-2021-40539. Zoho paling dikenal sebagai vendor perangkat lunak sebagai layanan yang populer, sedangkan ManageEngine adalah divisi perangkat lunak manajemen TI perusahaan perusahaan.

Ini adalah kampanye malware yang ditargetkan, jadi sebagian besar pengguna Windows tidak perlu khawatir tentang hal itu, tetapi Microsoft telah menandai kampanye tersebut, yang pertama kali diamati pada bulan September, karena ditujukan untuk basis industri pertahanan AS, pendidikan tinggi, layanan konsultasi, dan sektor TI.

LIHAT: Ransomware: Ini adalah ‘era keemasan’ bagi penjahat dunia maya – dan bisa menjadi lebih buruk sebelum menjadi lebih baik

MSTIC mengaitkan aktivitas ke grup yang dilacaknya sebagai DEV-0322, yang juga menargetkan cacat nol hari di perangkat lunak FTP SolarWinds Serv-U. Pemerintah AS mengaitkan serangan rantai pasokan perangkat lunak sebelumnya di SolarWinds dengan peretas intelijen yang didukung Kremlin.

Palo Alto Networks Unit 42 mengamati grup China yang sama memindai server ManageEngine ADSelfService Plus dari pertengahan September hingga awal Oktober.

Bug tersebut menyangkut bypass otentikasi REST API yang dapat menyebabkan eksekusi kode jarak jauh di perangkat yang rentan.

Microsoft menyempurnakan beberapa detail tentang aktivitas terbaru penggunaan bug Zoho oleh grup, yang mengandalkan muatan webshell Godzilla. Kulit web umumnya dianggap sebagai masalah karena mereka dapat bertahan dari tambalan pada OS atau perangkat lunak yang mendasarinya.

Ini mencatat bahwa grup tersebut terlibat dalam “pembuangan kredensial, menginstal binari kustom, dan menjatuhkan malware untuk mempertahankan kegigihan dan bergerak secara lateral di dalam jaringan.”

LIHAT: Ransomware: Layanan industri teratas dalam daftar sasaran – tetapi penjahat dunia maya semakin beragam

Kelompok penyerang juga menyebarkan Trojan yang disebut Microsoft sebagai Trojan:Win64/Zebracon, yang menggunakan kredensial hardcode untuk membuat koneksi ke server email Zimbra yang diduga disusupi DEV-0322.

“Godzilla adalah webshell kaya fungsionalitas yang mem-parsing permintaan HTTP POST masuk, mendekripsi data dengan kunci rahasia, mengeksekusi konten yang didekripsi untuk menjalankan fungsionalitas tambahan dan mengembalikan hasilnya melalui respons HTTP. Ini memungkinkan penyerang untuk menyimpan kode yang kemungkinan akan ditandai sebagai berbahaya dari sistem target sampai mereka siap untuk menjalankannya secara dinamis,” catat Palo Alto Networks.

Posted By : togel hari ini hongkong