Il 16 settembre 2021, la Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti ha pubblicato un alert relativo ad attori Advanced Persistent Threat (APT) che stavano attivamente sfruttando le vulnerabilità identificate in una soluzione di gestione delle password self-service e single sign-on – ManageEngine ADSelfService Plus. Gli attaccanti sono stati osservati distribuire una webshell specifica e utilizzare altre tecniche per mantenere la persistenza negli ambienti delle vittime. Nei giorni successivi, abbiamo osservato una seconda campagna non correlata effettuare attacchi di successo sfruttando la stessa vulnerabilità.
Già il 17 settembre, l’attore ha sfruttato un’infrastruttura affittata negli Stati Uniti per scansionare centinaia di organizzazioni vulnerabili su Internet. I tentativi di sfruttamento sono iniziati il 22 settembre e probabilmente sono continuati a inizio ottobre. Durante questa finestra temporale, l’attore ha compromesso con successo almeno nove aziende globali operative nei settori della tecnologia, difesa, sanità, energia ed istruzione.
Dopo lo sfruttamento iniziale, è stato caricato un payload sulla rete della vittima che ha installato una webshell Godzilla. Questa attività è stata costante in tutti gli attacchi, tuttavia abbiamo anche osservato un piccolo sottoinsieme di organizzazioni compromesse che hanno successivamente ricevuto una versione modificata di una nuova backdoor chiamata NGLite. Gli attori della minaccia hanno quindi utilizzato la webshell o il payload NGLite per eseguire comandi e spostarsi lateralmente verso altri sistemi in rete, esfiltrando i file di interesse semplicemente scaricandoli dal server web. Una volta che gli attori hanno approfittato di un controller di dominio, hanno installato un nuovo strumento per il furto di credenziali, rilevato come KdcSponge.
Sia Godzilla che NGLite sono stati sviluppati con istruzioni cinesi e sono pubblicamente disponibili per il download su GitHub. Riteniamo che gli attori delle minacce abbiano utilizzato questi strumenti in combinazione, come ridondanza per mantenere l’accesso alle reti di elevato interesse. Godzilla è una webshell ricca di funzionalità che analizza le richieste HTTP POST in entrata, decifra i dati con una secret key, esegue il contenuto decrittografato per eseguire funzionalità aggiuntive e restituisce il risultato tramite una risposta HTTP. Questo permette agli attaccanti di mantenere il codice, che potrebbe essere segnalato come dannoso fuori dal sistema di destinazione, fino a quando non sono pronti a eseguirlo dinamicamente.
NGLite è indicato dal suo autore come un “programma anonimo di controllo remoto multipiattaforma basato su tecnologia blockchain”. Sfrutta l’infrastruttura New Kind of Network (NKN) per le sue comunicazioni di comando e controllo (C2), cosa che teoricamente si traduce in anonimato per i propri utenti. È importante notare che NKNN è un servizio di rete legittimo che utilizza la tecnologia blockchain per supportare una rete decentralizzata di peer. L’uso di NKN come canale C2 è molto raro, abbiamo osservato complessivamente solo 13 esemplari che comunicano con NKN – nove campioni NGLite e quattro relativi a una utility open-source legittima chiamata Surge, che utilizza NKN per la condivisione di file.
Infine, KdcSponge è un nuovo strumento di furto di credenziali che viene distribuito verso i controller di dominio per rubare i dati. KdcSponge si inietta nel processo Local Security Authority Subsystem Service (LSASS) e aggancia funzioni specifiche per raccogliere nomi utente e password da account che cercano di autenticarsi al dominio tramite Kerberos. Il codice pericoloso scrive le credenziali rubate in un file, ma si affida ad altre funzionalità per l’esfiltrazione.
