Cyberspionaggio: una falla dà accesso a una scia di multinazionali

Gli attaccanti sfruttano una webshell in combinazione con una backdoor per mantenere la persistenza nelle reti target ed esfiltrare informazioni.

Business Vulnerabilità

Un non meglio definito gruppo APT ha sfruttato delle vulnerabilità in una soluzione di gestione delle password self-service e single sign-on per attaccare almeno nove multinazionali statunitensi operative nei settori della tecnologia, difesa, sanità, energia ed istruzione. Gli attacchi si sono verificati a partire da settembre, e il 16 dello stesso mese l'allarme era ormai tale da spingere la Cybersecurity and Infrastructure Security Agency (CISA) a pubblicare un alert.

Gli esperti di Unit42 hanno analizzato gli attacchi. La falla riguarda ManageEngine ADSelfService Plus e, con il corretto exploit, consente l'ingresso nelle infrastrutture target. A quel punto gli attaccanti sfruttano diverse tecniche e tattiche per mantenere la persistenza negli ambienti delle vittime. In uno degli attacchi analizzati, i threat actor hanno sfruttato un'infrastruttura affittata negli Stati Uniti per scansionare centinaia di organizzazioni vulnerabili su Internet.

Una costante di quasi tutti gli attacchi è l'impiego, dopo l'ingresso nella rete della vittima, di un payload che installa una webshell Godzilla. In rari casi è stata successivamente impiegata una nuova backdoor chiamata NGLite. Sfruttando uno di questi due elementi gli attaccanti hanno potuto eseguire comandi da remoto e spostarsi lateralmente verso altri sistemi in rete, esfiltrando i file di interesse.


Valori webshell predefiniti di Godzilla

Nei casi in cui è stato attaccano anche un controller di dominio, è stato installato un nuovo strumento per il furto di credenziali, battezzato KdcSponge.

Gli strumenti del mestiere

Sia Godzilla che NGLite sono stati sviluppati con istruzioni cinesi e sono pubblicamente disponibili per il download su GitHub. Gli analisti di Unit42 reputano che gli attaccanti abbiano utilizzato questi strumenti in come ridondanza per mantenere l'accesso alle reti di elevato interesse.

Nel dettaglio, Godzilla è una webshell ricca di funzionalità che analizza le richieste HTTP POST in entrata, decifra i dati con una secret key, esegue il contenuto decifrato per eseguire funzionalità aggiuntive e restituisce il risultato tramite una risposta HTTP. Questo permette agli attaccanti di mantenere il codice, che potrebbe essere segnalato come dannoso fuori dal sistema di destinazione, fino a quando non sono pronti a eseguirlo dinamicamente.

NGLite è indicato dal suo autore come un "programma anonimo di controllo remoto multipiattaforma basato su tecnologia blockchain". Sfrutta l'infrastruttura New Kind of Network (NKN) per le sue comunicazioni di comando e controllo (C2), cosa che teoricamente si traduce in anonimato per i propri utenti.

I ricercatori fanno notare che NKN è un servizio di rete legittimo che utilizza la tecnologia blockchain per supportare una rete decentralizzata di peer. L'uso di NKN come canale C2 è molto raro: finora sono stati osservati solo 13 esemplari, di cui nove campioni NGLite e quattro relativi a una utility open-source legittima chiamata Surge, che utilizza NKN per la condivisione di file.

Quanto a KdcSponge, è un nuovo strumento per il furto di credenziali che viene distribuito verso i controller di dominio per rubare i dati. KdcSponge si inietta nel processo Local Security Authority Subsystem Service (LSASS) e aggancia funzioni specifiche per raccogliere nomi utente e password da account che cercano di autenticarsi al dominio tramite Kerberos. Il codice pericoloso scrive le credenziali rubate in un file, ma si affida ad altre funzionalità per l'esfiltrazione.

Come detto, l'attribuzione è ancora in corso. Tuttavia ci sono alcune correlazioni tra le tattiche e gli strumenti utilizzati nei casi descritti sopra e i lavori precedenti dei gruppi TG-3390, Emissary Panda e APT27. Per maggiori informazioni rimandiamo al blog ufficiale.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di SecurityOpenLab.it iscriviti alla nostra Newsletter gratuita.

Notizie correlate

Speciali Tutti gli speciali

Speciale

Threat Intelligence

Speciale

Cloud Security

Speciale

Cybertech Europe 2022

Speciale

Backup e protezione dei dati

Speciale

Cyber security: dentro o fuori?

Calendario Tutto

Ott 12
Business Continuity in IperConvergenza per l’Edge e la PMI
Ott 18
IT CON 2022 - Milano
Ott 19
IDC Future of Data 2022
Ott 20
SAP NOW 2022
Ott 20
Dell Technologies Forum 2022
Ott 20
IT CON 2022 - Roma
Nov 08
Red Hat Summit Connect - Roma
Nov 30
Red Hat Open Source Day - Milano

Iscriviti alla nostra newsletter

Soluzioni B2B per il Mercato delle Imprese e per la Pubblica Amministrazione

Iscriviti alla newsletter