Au moins neuf entités dans les secteurs de la technologie, de la défense, de la santé, de l’énergie et de l’éducation ont été compromises en exploitant une vulnérabilité critique récemment corrigée dans la solution de gestion des mots de passe et d’authentification unique (SSO) en libre-service ManageEngine ADSelfService Plus de Zoho.
La campagne d’espionnage, qui a été observée à partir du 22 septembre 2021, impliquait l’acteur de la menace profitant de la faille pour obtenir un premier accès aux organisations ciblées, avant de se déplacer latéralement à travers le réseau pour effectuer des activités post-exploitation en déployant des outils malveillants conçus pour récolter identifiants et exfiltrer des informations sensibles via une porte dérobée.
« L’acteur s’appuie fortement sur le shell Web Godzilla, téléchargeant plusieurs variantes du shell Web open source sur le serveur compromis au cours de l’opération », a déclaré des chercheurs de l’équipe de renseignement sur les menaces de l’unité 42 de Palo Alto Networks. mentionné dans un rapport. « Plusieurs autres outils ont de nouvelles caractéristiques ou n’ont pas été publiquement discutés comme étant utilisés dans des attaques précédentes, en particulier la porte dérobée NGLite et le voleur KdcSponge. »
Suivi comme CVE-2021-40539, la vulnérabilité concerne une vulnérabilité de contournement d’authentification affectant API REST URL qui pourraient permettre l’exécution de code à distance, incitant l’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) à avertir des tentatives d’exploitation actives dans la nature. La faille de sécurité a été évaluée à 9,8 sur 10 en termes de gravité.
Selon la CISA, le Federal Bureau of Investigation (FBI) et le Coast Guard Cyber Command (CGCYBER), des attaques dans le monde réel transformant le bogue en armes auraient commencé dès août 2021.
L’enquête de l’Unité 42 sur la campagne d’attaque a révélé que l’exploitation initiale réussie a été suivie par l’installation d’un shell Web JSP en chinois nommé « Godzilla« , certaines victimes étant également infectées par un cheval de Troie open source basé sur Golang appelé « NGLite. »
« NGLite est caractérisé par son auteur comme un » programme de contrôle à distance multiplateforme anonyme basé sur la technologie blockchain « », ont expliqué les chercheurs Robert Falcone, Jeff White et Peter Renals. « Il s’appuie sur un nouveau type de réseau (NKN) pour ses communications de commandement et de contrôle (C2), ce qui se traduit théoriquement par l’anonymat de ses utilisateurs. »
Dans les étapes suivantes, l’ensemble d’outils a permis à l’attaquant d’exécuter des commandes et de se déplacer latéralement vers d’autres systèmes du réseau, tout en transmettant simultanément des fichiers d’intérêt. Un nouveau voleur de mots de passe surnommé « KdcSponge » est également déployé dans la kill chain, orchestré pour voler les informations d’identification des contrôleurs de domaine.
En fin de compte, l’adversaire aurait ciblé au moins 370 serveurs Zoho ManageEngine rien qu’aux États-Unis à partir du 17 septembre. Bien que l’identité de l’auteur de la menace reste incertaine, l’unité 42 a déclaré avoir observé corrélations dans la tactique et l’outillage entre l’attaquant et celui de l’émissaire Panda (alias APT27, TG-3390, BRONZE UNION, Iron Tiger ou LuckyMouse).
« Les organisations qui identifient toute activité liée aux indicateurs de compromission de ManageEngine ADSelfService Plus au sein de leurs réseaux doivent prendre des mesures immédiatement », CISA mentionné, en plus de recommander « des réinitialisations de mot de passe à l’échelle du domaine et une double réinitialisation de mot de passe Kerberos Ticket Granting Ticket (TGT) si une indication est trouvée que le ‘NTDS.dit‘ fichier a été compromis. »