Uma ampla variedade de grupos entram na onda do ZeroLogon

Envolvimento de APTs

Recentemente, os grupos TA505 (também conhecido como Chimborazo) e MuddyWater (também conhecido como Mercury) foram observados obtendo acesso direto ao controlador de domínio por meio da vulnerabilidade Zerologon. 

• TA505 implantou uma campanha usando a vulnerabilidade ZeroLogon com atualizações falsas para se conectar à infraestrutura C2 do ator da ameaça e obter privilégios aumentados.
• Além disso, o ator da ameaça usou ferramentas legítimas, como o Windows Script Host (WScript.Exe), para executar scripts em várias linguagens de programação; a ferramenta Mimikatz para explorar o código da vulnerabilidade ZeroLogon; e o Microsoft Build Engine (MSBuild.Exe) para a construção de aplicativos.
• Poucos dias atrás, a Microsoft descobriu que um grupo de hackers patrocinado pelo estado iraniano, apelidado de MuddyWater, também estava explorando a vulnerabilidade Zerologon.

Um assunto popular em todo o mundo

Os ataques foram detectados pela primeira vez em setembro, após cerca de uma semana da publicação da prova de conceito .

• Na primeira semana de outubro , os hackers exploraram uma falha do WordPress (CVE-2020-25213) no plug-in WP-Manager do WordPress para aproveitar a vulnerabilidade Zerologon e atacar os controladores de domínio.
• De acordo com o DHS, os sistemas eleitorais do governo enfrentam ameaças de exploits ativos do Zerologon. No entanto, em meados de setembro, o DHS CISA divulgou uma diretriz de emergência para agências governamentais, instando-as a corrigir essa vulnerabilidade extremamente perigosa até 21 de setembro.
• A Microsoft publicou repetidamente um boletim de suporte instando todos os administradores do Windows Server a instalar a atualização de segurança para CVE-2020-1472.

A declaração de encerramento

O patch foi lançado em agosto de 2020, mas, de acordo com relatórios, poucas organizações o implementaram. Vários avisos sobre a vulnerabilidade crítica de escalonamento de privilégios ainda estão sendo enviados aos administradores de rede à medida que os cibercriminosos continuam a explorá-la.

Fonte: https://cyware.com/news/a-wide-range-of-threat-groups-pick-zerologon-61ab8313