يوضح الخبراء بالتفصيل الشفرة الضارة التي تم إسقاطها باستخدام ManageEngine ADSelfService Exploit برنامج

تعرضت تسعة كيانات على الأقل في مجالات التكنولوجيا والدفاع والرعاية الصحية والطاقة والتعليم للخطر من خلال الاستفادة من ثغرة أمنية حرجة تم تصحيحها مؤخرًا في إدارة كلمات مرور الخدمة الذاتية وحلول تسجيل الدخول الأحادي (SSO) من زوهو (Zoho). وتضمنت حملة التجسس، التي لوحظت اعتبارًا من 22 سبتمبر 2021، فاعل التهديد الذي يستغل الثغرة للوصول الأولي إلى المنظمات المستهدفة، قبل الانتقال أفقياً عبر الشبكة لتنفيذ أنشطة ما بعد الاستغلال من خلال نشر أدوات خبيثة مصممة للحصاد. أوراق الاعتماد وسرقة المعلومات الحساسة عبر باب خلفي.

قال باحثون من فريق استخبارات التهديد بالوحدة 42 بالو ألتو في تقرير: “يعتمد الممثل بشكل كبير على قشرة الويب قودزيللا (Godzilla)، حيث قام بتحميل العديد من أشكال قذيفة الويب مفتوحة المصدر إلى الخادم المخترق على مدار العملية”. العديد من الأدوات الأخرى لها خصائص جديدة أو لم تتم مناقشتها علنًا على أنها استخدمت في الهجمات السابقة، وتحديداً باب خلفي إن جي لايت (NGLite) و (KdcSponge) السارق.

تم تتبع الثغرة الأمنية باعتبارها (CVE-2021-40539)، وهي تتعلق بالثغرة الأمنية التي تتخطى المصادقة والتي تؤثر على عناوين (URL) الخاصة بواجهة برمجة تطبيقات (REST) والتي يمكن أن تتيح تنفيذ التعليمات البرمجية عن بُعد، مما دفع وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) للتحذير من محاولات الاستغلال النشطة في البرية. وتم تصنيف العيب الأمني ​​9.8 من 10 في الخطورة.

ويقال إن هجمات العالم الحقيقي التي تستخدم في تسليح الخلل قد بدأت في أغسطس 2021، وفقًا لـ (CISA)، ومكتب التحقيقات الفيدرالي الأمريكي (FBI) ، والقيادة الإلكترونية لخفر السواحل.

وجد التحقيق الذي أجرته الوحدة 42 في حملة الهجوم أن أنشطة الاستغلال الأولية الناجحة تبعها باستمرار تثبيت قذيفة ويب (JSP) باللغة الصينية باسم قودزيللا”Godzilla” ، مع إصابة ضحايا محددين أيضًا ببرنامج تروجان مفتوح المصدر مخصص يستند إلى قولانج (Golang) ويسمى (NGLite).

وأوضح الباحثون روبرت فالكون وجيف وايت وبيتر رينالز أن (NGLite) تتميز من قبل مؤلفها بأنها “برنامج تحكم عن بعد مجهول عبر الأنظمة الأساسية يعتمد على تقنية(blockchain). وإنها تستفيد من البنية التحتية الجديدة من نوع الشبكة (NKN) لاتصالاتها الخاصة بالقيادة والتحكم (C2) ، والتي تؤدي نظريًا إلى إخفاء الهوية لمستخدميها.”

في الخطوات اللاحقة، مكنت مجموعة الأدوات المهاجم من تشغيل الأوامر والانتقال بشكل جانبي إلى أنظمة أخرى على الشبكة، مع نقل الملفات ذات الأهمية في نفس الوقت. وتم نشره أيضًا في سلسلة القتل عبارة عن أداة سرقة كلمات مرور جديدة يطلق عليها اسم “KdcSponge”  تم تنظيمها لسرقة بيانات الاعتماد من وحدات التحكم في المجال.

في النهاية، يُعتقد أن الخصم قد استهدف ما لا يقل عن 370 خادمًا من خوادم زوهو مانيتج إنجن (Zoho ManageEngine) في الولايات المتحدة وحدها بدءًا من 17 سبتمبر. وبينما لا تزال هوية الفاعل غير واضح، قالت الوحدة 42 إنها لاحظت وجود ارتباطات في التكتيكات والأدوات بين المهاجم والمبعوث. الباندا (المعروف أيضًا باسم APT27 أو TG-3390 أو BRONZE UNION  أو Iron Tiger أو LuckyMouse).

قامت مايكروسوفت، التي تتعقب الحملة نفسها أيضًا بشكل مستقل، بربطها بمجموعة التهديدات الناشئة “DEV-0322” التي تعمل خارج الصين وقد تم اكتشافها سابقًا وهي تستغل عيبًا في يوم الصفر في خدمة نقل الملفات المُدارة من (SolarWinds Serv-U) في يوليو 2021. أشارت الشركة التي يوجد مقرها في ريدموند أيضًا إلى نشر غرسة تسمى زبراكون “Zebracon”  تسمح للبرامج الضارة بالاتصال بخوادم البريد الإلكتروني في زمبرا (Zimbra) بهدف استرداد تعليمات إضافية.

وقالت (CISA): “يتعين على المنظمات التي تحدد أي نشاط متعلق بمؤشرات (ManageEngine ADSelfService Plus) للتسوية داخل شبكاتها اتخاذ إجراءات على الفور”، بالإضافة إلى التوصية بإعادة تعيين كلمة المرور على مستوى المجال وإعادة تعيين كلمة مرور Kerberos Ticket Ticket (TGT) المزدوجة إذا كان هناك أي إشارة تم العثور على أن ملف “NTDS.dit” تم اختراقه”.

المصدر:  (thehackernews.com)