【安全资讯】FBI与CISA发布联合警告:APT组织正利用CVE-2021-44077漏洞发起攻击

安恒威胁情报中心 2021-12-03 13:41:53 363人浏览

引言

12月2日,联邦调查局 (FBI) 和网络安全和基础设施安全局 (CISA) 发布联合警告称,一个APT组织正利用Zoho ManageEngine ServiceDesk Plus中的CVE-2021-44077漏洞发起攻击。APT 攻击者的目标是关键基础设施行业,包括医疗保健、金融服务、电子和 IT 咨询行业。

 

 

简况

CVE-2021-44077是一个未经身份验证的远程代码执行 (RCE) 漏洞,影响所有 ServiceDesk Plus版本(包括版本 11305),评级为严重。 Zoho 于 2021 年 9 月 16 日发布了对此漏洞的更新,并于 2021 年 11 月 22 日发布了安全公告,提醒客户立即打补丁。但是,由于用户更新缓慢,目前且仍然容易受到攻击。

 

 

FBI 和 CISA 评估称,APT组织可以通过利用CVE-2021-44077漏洞上传可执行文件并释放 webshell,从而能够进行后利用活动,如破坏管理员凭据、横向移动以及泄露注册表配置单元和 Active Directory 文件等。联合警告如下:

 

攻击者的TTP包括:

  • 将 webshell写入磁盘以进行初始持久化
  • 混淆和反混淆/解码文件或信息
  • 执行转储用户凭据的进一步操作
  • 仅使用签名的 Windows 二进制文件执行后续操作
  • 根据需要添加或删除用户帐户
  • 窃取活动目录数据库或注册表配置单元的副本
  • 使用 Windows Management Instrumentation (WMI) 进行远程执行
  • 删除文件以从主机中移除指标
  • 使用 net Windows 命令发现域帐户
  • 使用 Windows 实用程序收集和存档文件以进行渗漏
  • 使用自定义对称加密

 

 

成功利用该漏洞后,攻击者可以通过对 ServiceDesk REST API URL 的 POST 请求实现不受限制的文件上传,并上传一个可执行文件,此可执行文件用作释放器,并包含嵌入的编码Godzilla JAR文件。通过对不同 REST API URL 的第二个 POST 请求获得释放器的执行权,然后该 URL 将解码嵌入的 Godzilla JAR 文件并将其放到指定文件路径中。攻击者会运行清理脚本,旨在消除初始攻陷点的痕迹并隐藏漏洞利用与 webshell 之间的关系。

 

 

总结

FBI建议组织尽快修补其 Zoho 软件,并检查自 2021 年 10 月上旬以来在 ServiceDesk Plus 目录中创建的所有文件。

 

失陷指标(IOC)25
APT CVE-2021-44077 金融 医疗卫生 IT行业
    0条评论
    0
    0
    分享
    安恒威胁情报中心专注于威胁情报的收集、处理、分析、应用,定期提供高质量的威胁情报。