ΑρχικήsecurityΗ ομάδα "Panda" βγάζει εκατομμύρια δολάρια μέσω RATs και cryptominers

Η ομάδα “Panda” βγάζει εκατομμύρια δολάρια μέσω RATs και cryptominers

PandaΟι ερευνητές της Cisco Talos ανακάλυψαν ότι μια hacking ομάδα χρησιμοποιεί εργαλεία απομακρυσμένης πρόσβασης (RAT) και cryptominers και έχει καταφέρει να αποκτήσει χιλιάδες δολάρια σε μορφή cryptocurrency και συγκεκριμένα σε Monero. Οι ερευνητές ονομάζουν την ομάδα «Panda». Δεν χρησιμοποιεί ιδιαίτερα εξελιγμένες τεχνικές, ωστόσο είναι πολύ ενεργή τον τελευταίο καιρό και εκμεταλλεύεται κυρίως ευάλωτες διαδικτυακές εφαρμογές. Τα εργαλεία, που χρησιμοποιούν οι hackers, τους επιτρέπουν να εισχωρούν στα δίκτυα. Η χρήση των RAT θέτει σε κίνδυνο τα δεδομένα των οργανισμών.

Οι hackers εκμεταλλεύονται exploits που δημοσιοποιεί η Shadow Brokers, ενώ ταυτόχρονα χρησιμοποιούν την open-source εφαρμογή Mimikatz για την απόκτηση κωδικών πρόσβασης.

Αρχικά, η ομάδα Panda είχε συνδεθεί με την περσινή MassMiner εκστρατεία. Στη συνέχεια, συνδέθηκε με άλλη mining εκστρατεία. Τον τελευταίο καιρό, η ομάδα Panda έχει εξελίξει πολύ τις τεχνικές της και τα exploits και payloads που χρησιμοποιεί.

Σύμφωνα με τους ερευνητές, οι hackers έχουν επιτεθεί σε οργανισμούς διαφόρων τομέων. Μερικοί από τους στόχους είναι τράπεζες, υπηρεσίες υγειονομικής περίθαλψης, εταιρείες τηλεπικοινωνιών και υπηρεσίες πληροφορικής.

Τον Ιούλιο του 2018, οι hackers εκμεταλλεύτηκαν μια ευπάθεια WebLogic (CVE-2017-10271) για να εγκαταστήσουν ένα cryptominer που σχετίζεται με το MassMiner. Επιπλέον, σάρωναν μαζικά το διαδίκτυο για την εύρεση ευάλωτων servers και προσπάθησαν να εκμεταλλευτούν μια ευπάθεια Apache Struts 2 (CVE-2017-5638). Στη συνέχεια, χρησιμοποιούσαν ένα PowerShell exploit για την εγκατάσταση του miner payload.

Η Talos εκτιμά ότι η ομάδα Panda έχει συγκεντρώσει Monero αξίας 100.000 δολαρίων.

Έχει, επίσης, βρεθεί ότι η ομάδα έχει χρησιμοποιήσει το Gh0st RAT στις επιθέσεις της.

Τον Ιανουάριο του 2019, οι hackers είχαν εκμεταλλευτεί μια ευπάθεια στο ThinkPHP web framework (CNVD-2018-24942) για την εξάπλωση κακόβουλου λογισμικού. Τον Μάρτιο χρησιμοποίησαν άλλα exploits αλλά οι τακτικές, οι τεχνικές και οι διαδικασίες ήταν παρόμοιες, οπότε οι ερευνητές κατάλαβαν ότι επρόκειτο για τους ίδιους hackers.

Στη συνέχεια, η ομάδα Panda χρησιμοποίησε ένα άλλο payload, που εκμεταλλευόταν το εργαλείο Certutil στα Windows για να κατεβάσει το δευτερεύον payload.

Οι hackers έχουν πραγματοποιήσει πολλές επιθέσεις κατά τη διάρκεια του 2019 και έχουν εξελίξει πολύ τα εργαλεία τους και τις τεχνικές τους. Πρόσφατα, προσέθεσαν ένα νέο σύνολο domains στον κατάλογό τους.

Ωστόσο, η Panda δεν φροντίζει ιδιαίτερα για την ασφάλειά της. Πολλά από τα παλιά και τα νέα domains φιλοξενούνται στην ίδια διεύθυνση IP και τα TTPs τους είναι παρόμοια σε όλες τις εκστρατείες τους. Τέλος, τα payloads τους δεν είναι πολύ πολύπλοκα.

Absenta Mia
Absenta Miahttps://www.secnews.gr
Being your self, in a world that constantly tries to change you, is your greater achievement

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS