Злоумышленники взломали сервер организации через уязвимость в Zoho ManageEngine ADSelfService Plus.
Международный комитет «Красного Креста» (ICRC) сообщил , что раскрытый в прошлом месяце взлом серверов организации был, вероятнее всего, делом рук хакерской группировки, работающей на правительство.
В результате атаки злоумышленники получили доступ к персональной информации (именам, местоположению и контактным данным) более 515 тыс. участников программы по воссоединению членов семьи, разлученных из-за войны, природных катаклизмов или миграции.
Для взлома серверов хакеры использовали тактики, кастомные инструменты для взлома, «разработанные для наступательной безопасности», и техники обфускации для обхода обнаружения, которыми обычно пользуются APT-группы.
О том, что атака была целенаправленной, свидетельствует использование «кода, разработанного исключительно для выполнения на атакуемых серверах ICRC». Кроме того, большинство развернутых вредоносных файлов были созданы таким образом, чтобы обходить используемые ICRC антивирусные решения. Атака была обнаружена только тогда, когда организация установила на свои конечные точки EDR-агенты.
Как выяснилось в ходе расследования, у злоумышленников был доступ к серверам в течение 70 дней после получения первоначального доступа 9 ноября 2021 года.
Для взлома сети хакеры проэксплуатировали неисправленную уязвимость CVE-2021-40539 в корпоративном менеджере паролей Zoho ManageEngine ADSelfService Plus, позволившую им удаленно выполнить код без авторизации.
Получив доступ к сети, злоумышленники развернули инструменты для тестирования на проникновения, что позволило им выдавать себя за легитимных пользователей и администраторов. Таким образом, хакеры могли получать доступ к данным несмотря на то, что они были зашифрованы.
«Красный Крест» не приписывает атаку какой-либо конкретной киберпреступной группировке, однако известна как минимум одна, эксплуатирующая уязвимость CVE-2021-40539. Ранее специалисты Palo Alto Networks связали эксплуатацию уязвимости в Zoho ManageEngine ADSelfService Plus с группировкой APT27, финансируемой китайским правительством.