En su más reciente investigación Unit 42 de Palo Alto Networks detalló cómo un grupo de hackers ha utilizado una serie de herramientas maliciosas para espiar en redes empresariales en E.U. después de abusar de al menos 370 servicios de administración de contraseñas. Una característica llamativa de estas herramientas es que vienen acompañadas de instrucciones redactadas en chino, lo que podría ser un indicio del origen del ataque.
Los investigadores señalan que estos ataques fueron detectados entre septiembre y octubre de 2021, impactando en organizaciones de las industrias de tecnología, salud, energía y defensa. Los ataques involucraron la explotación de una vulnerabilidad reportada por la Agencia de Ciberseguridad y Seguridad de Infraestructura (CISA), detectada en el servicio de administración de contraseñas Zoho ManageEngine ADSelfServicePlus.
El ataque involucraba la carga de archivos ZIP con un webshell JavaServer Pages (JSP) oculto como un certificado x509, lo que permitió a los hackers realizar solicitudes posteriores a diversos endpoints de la API para el compromiso de los sistemas afectados. Posteriormente los atacantes usaron Windows Management Instrumentation (WMI) para acceder a un controlador de dominio y extraer archivos de Active Directory, además de usar herramientas de limpieza para cubrir sus rastros.
Si bien la compañía desarrolladora lanzó un parche hace poco más de un mes, los ataques habrían iniciado desde agosto de 2021, por lo que no fue posible proteger a todas las organizaciones que usan este administrador de contraseñas.
En otro ataque aparentemente separado de esta campaña, los hackers maliciosos abusaron del administrador de contraseñas para entregar a las víctimas el web shell Godzilla y el backdoor NGLite, ambos disponibles en GitHub. Una última etapa de este ataque involucraba el uso de KdcSponge, una herramienta para el robo de contraseñas.
Mientras los expertos mencionan que Godzilla es un webshell con toda clase de funciones integradas, NGLite es descrito como una plataforma anónima de control remoto basada en tecnología blockchain. El uso combinado de ambas herramientas podría sonar redundante, aunque para los actores de amenazas detrás de esta campaña parece haber resultado funcional.
Si bien se tienen algunos indicios sobre el origen de esta actividad maliciosa, aún no ha sido posible determinar cuál es el grupo de hacking responsable. Los expertos concluyeron mencionando que existen similitudes entre estos ataques y los desplegados por Emissary Panda, un grupo de hackers que opera desde China, aunque no hay nada confirmado.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.