Untuk kedua kalinya, para peneliti menemukan gerakan eksploitasi Zoho zero-day di seluruh dunia: melanggar organisasi pertahanan, energi, dan perawatan kesehatan.
Selama akhir pekan, para peneliti mengingatkan bahwa telah ditemukan kerentanan keamanan di pengelola kata sandi (password manager) Zoho ManageEngine ADSelfService Plus. Para pelaku ancaman sejauh ini berhasil mengeksploitasi kelemahan Zoho dan mengekstrak datanya di setidaknya sembilan entitas global di seluruh sektor penting (teknologi, pertahanan, perawatan kesehatan, energi, dan pendidikan) menggunakan Godzilla Webshell.
Zoho menambal (patched) kerentanan pada bulan September, tetapi telah dieksploitasi secara aktif pada awal Agustus saat zero-day, membuka pintu perusahaan bagi penyerang untuk mengendalikan Direktori Aktif pengguna (AD) dan akun cloud secara bebas.
Zoho ManageEngine ADSelfService Plus adalah pengelola kata sandi layanan sendiri dan platform sign-on (SSO) untuk AD (Active Directory) dan cloud, yang berarti setiap oknum penyerang mampu mengambil kendali platform di beberapa titik penting. Dengan kata lain, ini adalah aplikasi istimewa yang dapat bertindak sebagai awal titik masuk ke area perusahaan yang lebih dalam, baik untuk pengguna maupun penyerang.
Cara Godzilla Webshell Bekerja
Unit 42 mengatakan bahwa setelah oknum mengeksploitasi CVE-2021-40539 untuk mendapatkan RCE, mereka bergerak cepat secara lateral untuk menyebarkan beberapa unit malware mengandalkan Godzilla publik yang tersedia di webshell.
Aktor mengupload beberapa variasi Godzilla untuk membahayakan server dan menanam beberapa alat malware baru juga, termasuk sebuah pintu belakang open-source Golang yang dikustom bernama NGLite dan pencuri-kredensial baru yang Unit 42 lacak bernama KdcSponge.
Godzilla dan NGLite ditulis dalam bahasa Cina dan bebas diambil dari GitHub.
Mangsa Siber-spionase: Lembaga Energi dan Kesehatan
Tidak mengejutkan kalau oknum di balik gerakan kedua Zoho ini ternyata menjadi APT (advanced persistent threats Cina. Dave Klein, pemuka siber dan direktur di Cymulate, menunjuk Republik Rakyat Cina (RRC) memiliki data yang terdokumentasi dengan baik.
Dia menunjuk pelanggaran 2015 kantor manajemen personil U.S. (OPM) sebagai contoh. Pelanggaran besar-besaran dikaitkan dengan RRC meliputi informasi yang sangat sensitif seperti jutaan sidik jari karyawan federal, nomor Jaminan Sosial, tanggal lahir, catatan kinerja karyawan, riwayat pekerjaan, resume, transkrip sekolah, dokumen layanan militer dan data psikologis dari wawancara yang diadakan penyelidik.
Dia mengatakan bahwa setelah pelanggaran OPM, beberapa lembaga kesehatan kemudian dilanggar, termasuk serangan yang mempengaruhi 78 juta orang. “Kepentingan dalam data kesehatan secara global tidak hanya terus untuk tujuan Spionase terhadap target – mengumpulkan titik lemah serta mencari data kesehatan untuk melayani industri lokal mereka yang lebih baik,” Klein menginformasikan. “Pada energi, keduanya mencuri informasi spionase industri serta untuk mengatur kompromi dalam infrastruktur kritis untuk potensi penggunaan dalam kasus permusuhan di masa depan.”
Selengkapnya di: Threatpost