专家详细介绍了使用ManageEngine ADSelfService漏洞删除的恶意代码

通过利用Zoho的ManageEngine ADSelfService Plus自助密码管理和单点登录（SSO）解决方案中最近修补的关键漏洞，技术、国防、医疗保健、能源和教育行业中至少有九家实体受到了威胁。

间谍活动从2021年9月22日开始就开始了，它利用威胁者利用漏洞来获得对目标组织的初步访问，然后通过部署恶意工具在网络中横向移动以执行攻击后活动，这些工具旨在获取凭据并通过后门过滤敏感信息。

Palo Alto Networks第42单元威胁情报团队的研究人员在一份报告中说：“该演员严重依赖哥斯拉网络外壳，在整个操作过程中，他将几种不同的开源网络外壳上传到受损的服务器上。”。“其他一些工具具有新颖的特征，或者在以前的攻击中没有公开讨论过，特别是NGLite后门和KdcSponge窃取者。”

该漏洞被追踪为CVE-2021-40539，与影响REST API URL的身份验证绕过漏洞有关，该漏洞可启用远程代码执行，促使美国网络安全和基础设施安全局（CISA）警告在野外进行的积极攻击企图。安全缺陷的严重性被评为10分之9.8。

据CISA、美国联邦调查局（FBI）和海岸警卫队网络司令部（CGCNET）报道，真实世界攻击武器的bug据说早在2021年8月就已经开始了。

第42单元对攻击活动的调查发现，成功的初始攻击活动之后始终安装了一个名为“哥斯拉”的中文JSP网络外壳，部分受害者还感染了一个名为“NGLite”的自定义Golang开源特洛伊木马

“NGLite的作者将其描述为‘基于区块链技术的匿名跨平台远程控制程序’，”研究人员Robert Falcone、Jeff White和Peter Renals解释道。“它利用新型网络（NKN）基础设施进行指挥与控制（C2）通信，理论上可以为用户提供匿名性。”

在随后的步骤中，该工具集使攻击者能够运行命令并横向移动到网络上的其他系统，同时传输感兴趣的文件。杀戮链中还部署了一个名为“KdcSponge”的新型密码窃取器，用于从域控制器窃取凭据。

最终，据信从9月17日开始，对手仅在美国就锁定了至少370台Zoho ManageEngine服务器。虽然威胁行为人的身份尚不清楚，但第42分队表示，他们观察到袭击者和熊猫使者（又名APT27、TG-3390、青铜联盟、铁虎或幸运鼠）在战术和工具上存在关联。

微软，它也独立跟踪相同的运动，把它绑在一个新兴的威胁集群“DEV-0322”，这是运行在中国，并已被发现利用零日缺陷在太阳风Serv-U托管文件传输服务在2021年7月。这家总部位于雷德蒙德的公司还指出，该公司部署了一种名为“Zebracon”的植入物，该植入物允许恶意软件连接到受损的Zimbra电子邮件服务器，目的是检索其他指令。

CISA表示：“在其网络中发现与ManageEngine ADSelfService Plus泄露指标相关的任何活动的组织应立即采取行动。”，除了建议“如果发现任何迹象表明“NTDS.dit”文件被破坏，则会重置整个域的密码，并重置双Kerberos票证授予票证（TGT）密码。”