Danny Palmer Senior Reporter
Danny Palmer er seniorreporter i ZDNet. Basert i London, skriver han om problemer inkludert nettsikkerhet, hacking og skadelig programvare.
Full Bio 6. januar 2022 | Emne: Sikkerhet 
En svært organisert og snikende cyberkriminell operasjon stjeler millioner av dollar fra finansielle organisasjoner i angrep som har vært aktive i minst to år.
Kampanjen er detaljert av forskere ved det israelske cybersikkerhetsselskapet Sygnia, som har kalt den organiserte økonomiske tyverioperasjonen bak angrepene som «Elephant Beetle».
Disse angrepene er hovedsakelig fokusert på finansielle organisasjoner i Latin-Amerika, selv om forskere advarte om at kampanjen kan skifte mot mål i andre deler av verden. Forskere bemerker at et av bruddene de avdekket da de analyserte Elephant Beetle-kampanjer var mot den latinamerikanske armen til et ikke avslørt USA-basert selskap.
SE: En vinnende strategi for cybersikkerhet (ZDNet spesialrapport)
Elephant Beetle-kampanjer finner sted over en lang periode, og de som står bak angrepene tar tid til å undersøke de økonomiske systemene til kompromitterte ofre for å lage uredelige transaksjoner skjult blant vanlig aktivitet, som utgjør millioner av dollar som blir stjålet.
Inngangspunktet for angrepene er et fokus på eldre Java-applikasjoner som kjører på Linux-baserte maskiner og webservere. Den eldre karakteren til disse systemene betyr at de sannsynligvis inneholder uopprettede sårbarheter som kan utnyttes.
Blant disse sårbarhetene er Primefaces Application Expression Language Injection (CVE-2017-1000486), WebSphere Application Server SOAP Deserialization Exploit (CVE-2015-7450), SAP NetWeaver Invoker Servlet Exploit (CVE-2010-5326) og SAP NetWeaver Re Configs NetWea. Utførelse (EDB-ID-24963).
I hvert tilfelle er den første nyttelasten et enkelt tilslørt nettskall som muliggjør ekstern kjøring av kode, eller en serie utnyttelser som kjører forskjellige kommandoer på målmaskinen. Totalt bruker trusselgruppen et arsenal på over 80 unike verktøy og skript for å gjennomføre kampanjene og identifisere ytterligere sikkerhetsfeil mens de forblir uoppdaget.
For å holde seg under radaren holder angriperne seg til mindre transaksjoner som ikke ser mistenkelige ut på individuell basis, men når alle transaksjonene mot ofrene legges sammen, blir millioner av dollar stjålet. Hvis et forsøk på en transaksjon oppdages og blokkeres, vil angriperne ligge lavt mens de forblir på nettverket i noen måneder, bare for å gjenoppta aktiviteten igjen når de føler at kysten er klar.
«Elephant Beetle er en betydelig trussel på grunn av dens svært organiserte natur og det snikende mønsteret som den intelligent lærer ofrenes interne økonomiske systemer og operasjoner med,» sa Arie Zilberstein, VP of incident Response i Sygnia
“Selv etter første oppdagelse har ekspertene våre funnet ut at Elephant Beetle er i stand til å ligge lavt, men forbli dypt innebygd i en kompromittert organisasjons infrastruktur, noe som gjør det mulig for den å reaktivere og fortsette å stjele midler når som helst,” la han til.
Analyse av hendelser som involverer Elephant Beetle – sammen med setninger og nøkkelord brukt i kode, inkludert «Elephante» – antyder at nettkriminelle bak angrepene er spansktalende. Forskere bemerker også at mange av kommando- og kontrollserverne som brukes av Elephant Beetle, ser ut til å være lokalisert i Mexico.
I tillegg til dette merker Sygnias hendelsesreaksjonsteam at verktøyene og teknikkene som brukes av Elephant Beetle, ligner sterkt på det cybersikkerhetsselskapet Mandiant sporer som FIN13, en cyberkriminell gruppe med fokus på Mexico.
SE: Nettsikkerhetsopplæringen din trenger forbedring fordi hackingangrep bare blir verre
Det er sterkt antatt at Elephant Beetle fortsatt aktivt kompromitterer mål, men det er skritt som organisasjoner kan ta for å unngå å bli offer. Nøkkelen til dette er å ta i bruk oppdateringer og sikkerhetsoppdateringer for å hindre angripere i å utnytte kjente sårbarheter for å få fotfeste i nettverk. Hvis eldre applikasjoner ikke kan lappes, bør de isoleres fra resten av nettverket når det er mulig.
“Spesielt i kjølvannet av utbredte sårbarheter som Log4j som dominerer bransjesamtalen, må organisasjoner bli informert om denne siste trusselgruppen og sikre at systemene deres er forberedt på å forhindre et angrep,” sa Zilberstein.
MER OM CYBERSIKKERHET
Log4j-feil: Nesten halvparten av bedriftsnettverk har blitt målrettet av angripere som prøver å bruke dette sikkerhetsproblemetDette er hvordan Formel 1-lagene bekjemper nettangrepDin nettsikkerhetstrening må forbedres fordi hackingangrep bare blir verreNettfiskingangrep: Politiet foretar 106 arrestasjoner mens de bryter opp svindelgruppen på nettet strong>Ransomware: Hvordan banker og kredittforeninger kan sikre dataene sine mot angrep Security TV | Databehandling | CXO | Datasentre