Danny Palmer Senior Reporter
Danny Palmer är seniorreporter på ZDNet. Baserad i London skriver han om frågor inklusive cybersäkerhet, hacking och skadlig programvara.
Fullständig beskrivning den 6 januari 2022 | Ämne: Säkerhet 
Cyberkriminella mer beslutsamma än någonsin att hacka sig in på banker – så hur kan vi stoppa dem? Titta nu
En mycket organiserad och smygande cyberkriminell operation stjäl miljontals dollar från finansiella organisationer i attacker som har varit aktiva i minst två år.
Kampanjen har detaljerats av forskare vid det israeliska cybersäkerhetsföretaget Sygnia, som har kallat den organiserade ekonomiska stöldoperationen bakom attackerna som “Elephant Beetle”.
Dessa attacker är främst inriktade på finansiella organisationer i Latinamerika, även om forskare varnade för att kampanjen skulle kunna skifta mot mål i andra delar av världen. Forskare noterar att ett av brotten som de upptäckte när de analyserade kampanjer för Elephant Beetle var mot den latinamerikanska grenen av ett hemligt USA-baserat företag.
SE: En vinnande strategi för cybersäkerhet (ZDNet specialrapport)
Elephant Beetle-kampanjer äger rum under en lång period, där de som ligger bakom attackerna tar tid att undersöka de ekonomiska systemen för utsatta offer för att skapa bedrägliga transaktioner gömda bland vanliga aktiviteter, vilket summerar till att miljontals dollar blir stulna.
Ingångspunkten för attackerna är fokus på äldre Java-applikationer som körs på Linux-baserade maskiner och webbservrar. De här systemens äldre karaktär innebär att de sannolikt innehåller oparpade sårbarheter som kan utnyttjas.
Bland dessa sårbarheter finns Primefaces Application Expression Language Injection (CVE-2017-1000486), WebSphere Application Server SOAP Deserialization Exploit (CVE-2015-7450), SAP NetWeaver Invoker Servlet Exploit (CVE-2010-5326) och SAP NetWeaver Re Config NetWeaver. Utförande (EDB-ID-24963).
I varje fall är den initiala nyttolasten ett enkelt fördunklat webbskal som möjliggör fjärrkörning av kod, eller en serie exploateringar som kör olika kommandon på målmaskinen. Totalt använder hotgruppen en arsenal av över 80 unika verktyg och skript för att genomföra kampanjerna och identifiera ytterligare säkerhetsbrister samtidigt som de förblir oupptäckta.
För att hålla sig under radarn håller angriparna sig till mindre transaktioner som inte ser misstänkta ut på individuell basis, men när alla transaktioner mot offer läggs ihop, stjäls miljontals dollar. Om ett försök till en transaktion upptäcks och blockeras, kommer angriparna att ligga lågt medan de är kvar på nätverket i några månader, bara för att återuppta aktiviteten igen när de känner att kusten är klar.
“Elephant Beetle är ett betydande hot på grund av dess mycket organiserade natur och det smygande mönster med vilket den på ett intelligent sätt lär sig offrens interna finansiella system och verksamhet”, säger Arie Zilberstein, VP of incident Response på Sygnia
“Även efter den första upptäckten har våra experter funnit att Elephant Beetle kan ligga lågt, men förbli djupt inbäddad i en komprometterad organisations infrastruktur, vilket gör det möjligt för den att återaktivera och fortsätta stjäla pengar när som helst”, tillade han.
Analys av incidenter med Elephant Beetle – tillsammans med fraser och nyckelord som används i kod, inklusive 'Elephante' – tyder på att cyberbrottslingarna bakom attackerna är spansktalande. Forskare noterar också att många av kommando- och kontrollservrarna som används av Elephant Beetle verkar vara belägna i Mexiko.
Utöver detta noterar Sygnias incidentresponsteam att verktygen och teknikerna som används av Elephant Beetle starkt liknar det cybersäkerhetsföretaget Mandiant spårar som FIN13, en cyberkriminell grupp fokuserad på Mexiko.
SE: Din cybersäkerhetsutbildning behöver förbättras eftersom hackattacker bara blir värre
Man tror starkt på att Elephant Beetle fortfarande aktivt äventyrar mål, men det finns åtgärder som organisationer kan vidta för att undvika att falla offer. Nyckeln till detta är att applicera patchar och säkerhetsuppdateringar för att förhindra angripare från att utnyttja kända sårbarheter för att få fotfäste i nätverk. Om äldre applikationer inte kan patchas, bör de isoleras från resten av nätverket när det är möjligt.
“Särskilt i kölvattnet av utbredda sårbarheter som Log4j som dominerar branschkonversationen, måste organisationer informeras om denna senaste hotgrupp och se till att deras system är beredda att förhindra en attack”, sa Zilberstein.
MER OM CYBERSÄKERHET
Log4j-fel: Nästan hälften av företagsnätverken har varit måltavlor av angripare som försöker använda denna sårbarhetDetta är hur Formel 1-team bekämpar cyberattackerDin cybersäkerhetsutbildning behöver förbättras eftersom hackingattacker bara blir värreNätfiskeattacker: Polisen arresterar 106 när de bryter upp bedrägerigrupp online strong>Ransomware: Hur banker och kreditföreningar kan säkra sina data från attacker Security TV | Datahantering | CXO | Datacenter