Den kinesiska hackargruppen APT27 Pekas ut som ansvarig för en rad attacker mot organisationer i olika delar av världen. Attacker som fortfarande pågår.
Det är säkerhetsforskare vid Paloalto Network som pekar ut gruppen i en rapport. Attackerna inleddes i mitten av september och de misstänkta kinesiska hackarna använde då ett säkerhetshål i mjukvara från Zoho vilket innebar att drygt 11 000 servrar övärlden över var sårbara för en attack:
Beginning on Sept. 17 and continuing through early October, we observed scanning against ManageEngine ADSelfService Plus servers. Through global telemetry, we believe that the actor targeted at least 370 Zoho ManageEngine servers in the United States alone. Given the scale, we assess that these scans were largely indiscriminate in nature as targets ranged from education to Department of Defense entities.
Kraftbolag
Enligt rapportern så har bland annat det amerikanska försvarsdepartementet system attackerats. I andra länder så attacker gjorts bland annat mot kraftbolag och sjukvård, teknik och utbildningsorganisationer. Syftet med attackerna ser ut att vara att försöka att komma över inloggsuppgifter för att kunna kapa konton i sin tur datorsystem.
While we lack insight into the totality of organizations that were exploited during this campaign, we believe that, globally, at least nine entities across the technology, defense, healthcare, energy and education industries were compromised. Following successful exploitation, the actor uploaded a payload which deployed a Godzilla webshell, thereby enabling additional access to a victim network.
Den nu utpekade gruppen APT27 har tidigare pekats ut för en lång av av attacker. Nu senast i somras attackerades sårbara Microsoft-servrar i en mängd attacker tros ha gjorts av gruppen.
