ΑρχικήsecurityElephant Beetle: Περνά μήνες σε δίκτυα θυμάτων

Elephant Beetle: Περνά μήνες σε δίκτυα θυμάτων

Ένας απειλητικός παράγοντας με οικονομικά κίνητρα με το όνομα «Elephant Beetle» κλέβει εκατομμύρια δολάρια από οργανισμούς σε όλο τον κόσμο χρησιμοποιώντας ένα οπλοστάσιο με περισσότερα από 80 μοναδικά εργαλεία και scripts.

Elephant Beetle

Δείτε επίσης: Οι χάκερ κερδίζουν 80 εκατομμύρια δολάρια το μήνα από giveaways

Η ομάδα που είναι πολύ εξελιγμένη και υπομονετική, ξοδεύει μήνες μελετώντας το περιβάλλον του θύματος και τις διαδικασίες οικονομικών συναλλαγών και μόνο τότε κινείται για να εκμεταλλευτεί τα ελαττώματα.

Οι χάκερ εισάγουν δόλιες συναλλαγές στο δίκτυο και κλέβουν μικρά ποσά για μεγάλες περιόδους, οδηγώντας σε μια συνολική κλοπή εκατομμυρίων δολαρίων. Αν εντοπιστούν, σταματούν για λίγο και επιστρέφουν μέσω διαφορετικού συστήματος.

Η τεχνογνωσία της ομάδας «Elephant Beetle» φαίνεται να είναι στη στόχευση εφαρμογών Java σε συστήματα Linux, που είναι συνήθως το σημείο εισόδου τους στα εταιρικά δίκτυα.

Δείτε επίσης: Χάκερ χρησιμοποιούν το Slack API για να κλέψουν “airline data”

Εκμετάλλευση ελαττωμάτων και ανάμειξη με το κανονικό traffic

Η ομάδα “Elephant Beetle” προτιμά να στοχεύει γνωστά και πιθανώς μη επιδιορθωμένα τρωτά σημεία αντί να αγοράζει ή να αναπτύσσει exploits zero-day.

Οι ερευνητές της Sygnia παρατήρησαν την ομάδα για δύο χρόνια και μπορούν να επιβεβαιώσουν ότι οι απειλητικοί παράγοντες εκμεταλλεύονται τα ακόλουθα ελαττώματα:

  • CVE-2017-1000486
  • CVE-2015-7450
  • CVE-2010-5326
  • EDB-ID-24963

Και τα τέσσερα παραπάνω ελαττώματα επιτρέπουν στους χάκερ να εκτελούν αυθαίρετο κώδικα εξ αποστάσεως μέσω ενός ειδικά διαμορφωμένου και ασαφούς web shell.

Οι χάκερ πρέπει να διεξάγουν μακροχρόνια παρακολούθηση και έρευνα, επομένως ο επόμενος πρωταρχικός στόχος είναι να παραμείνουν απαρατήρητοι για αρκετούς μήνες.

Για να το επιτύχουν αυτό, προσπαθούν να συνδυάζονται με το κανονικό traffic μιμούμενοι τα νόμιμα πακέτα, αποκρύπτοντας τα web shells ως γραμματοσειρά, εικόνα ή πόρους CSS και JS και χρησιμοποιώντας αρχεία WAR για τη συσκευασία ωφέλιμων φορτίων.

Μετακίνηση πλευρικά μέσα από προσαρμοσμένα backdoors

Αφού παραβιαστεί ο πρώτος web server, ο απειλητικός παράγοντας χρησιμοποιεί έναν προσαρμοσμένο σαρωτή Java που ανακτά μια λίστα διευθύνσεων IP για μια συγκεκριμένη θύρα ή interface HTTP.

Αυτό το εργαλείο είναι εξαιρετικά ευέλικτο και διαμορφώσιμο, και η Sygnia αναφέρει ότι το βλέπει να χρησιμοποιείται εκτενώς στις παρατηρούμενες λειτουργίες της ομάδας «Elephant Beetle».

Έχοντας εντοπίσει πιθανά εσωτερικά server pivoting points, οι χάκερ χρησιμοποιούν παραβιασμένα credentials ή ελαττώματα RCE για να εξαπλωθούν πλευρικά σε άλλες συσκευές στο δίκτυο.

Δείτε επίσης: Χάκερ κλέβουν credentials Microsoft Exchange χρησιμοποιώντας IIS module

Η ομάδα χρησιμοποιεί δύο one-liner backdoors μίας γραμμής που διευκολύνουν την πλευρική κίνηση, ένα PowerShell με κωδικοποίηση Base64 και ένα back-connect backdoor Perl.

Το πρώτο backdoor προσομοιώνει έναν web server και δεσμεύει ένα απομακρυσμένο κανάλι εκτέλεσης κώδικα σε θύρες προορισμού, ενώ το δεύτερο εκτελεί ένα διαδραστικό shell για επικοινωνία C2.

Σε ορισμένες σπάνιες περιπτώσεις, οι χάκερ χρησιμοποίησαν ένα τρίτο backdoor για την εκτέλεση shellcode στον host μέσω μιας κρυπτογραφημένου tunnel που δημιουργήθηκε χρησιμοποιώντας ένα σύνολο από hardcoded certificates.

Πηγή πληροφοριών: bleepingcomputer.com

Teo Ehc
Teo Ehchttps://www.secnews.gr
Be the limited edition.

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS