Danny Palmer Senior Reporter
Danny Palmer er seniorreporter hos ZDNet. Baseret i London skriver han om emner, herunder cybersikkerhed, hacking og malware-trusler.
Fuld biografi den 6. januar 2022 | Emne: Sikkerhed 
En meget organiseret og snigende cyberkriminel operation stjæler millioner af dollars fra finansielle organisationer i angreb, der har været aktive i mindst to år.
Kampagnen er blevet detaljeret af forskere hos det israelske cybersikkerhedsfirma Sygnia, som har døbt den organiserede økonomiske tyverioperation bag angrebene som 'Elephant Beetle'.
Disse angreb er overvejende fokuseret på finansielle organisationer i Latinamerika, selvom forskere advarede om, at kampagnen kunne skifte mod mål i andre dele af verden. Forskere bemærker, at et af de brud, de afslørede, da de analyserede Elephant Beetle-kampagner, var mod den latinamerikanske arm af et ikke offentliggjort amerikansk-baseret selskab.
SE: En vindende strategi for cybersikkerhed (ZDNet-særrapport)
Elephant Beetle-kampagner finder sted over en lang periode, hvor dem, der står bag angrebene, tager tid til at undersøge de økonomiske systemer for kompromitterede ofre for at skabe svigagtige transaktioner skjult blandt almindelig aktivitet, hvilket summerer til, at millioner af dollars bliver stjålet.
Indgangspunktet for angrebene er fokus på ældre Java-applikationer, der kører på Linux-baserede maskiner og webservere. Disse systemers gamle karakter betyder, at de sandsynligvis indeholder uoprettede sårbarheder som kan udnyttes.
Blandt disse sårbarheder er Primefaces Application Expression Language Injection (CVE-2017-1000486), WebSphere Application Server SOAP Deserialization Exploit (CVE-2015-7450), SAP NetWeaver Invoker Servlet Exploit (CVE-2010-5326) og SAP NetWeaver Re Config Codeerv. Udførelse (EDB-ID-24963).
I hvert tilfælde er den indledende nyttelast en simpel tilsløret web-shell, der muliggør fjernudførelse af kode, eller en række udnyttelser, der kører forskellige kommandoer på målmaskinen. I alt bruger trusselsgruppen et arsenal på over 80 unikke værktøjer og scripts til at gennemføre kampagnerne og identificere yderligere sikkerhedsfejl, mens de forbliver uopdaget.
For at hjælpe med at holde sig under radaren holder angriberne sig til mindre transaktioner, der ikke ser mistænkelige ud på individuel basis, men når alle transaktioner mod ofre lægges sammen, bliver der stjålet millioner af dollars. Hvis et forsøg på en transaktion opdages og blokeres, vil angriberne ligge lavt, mens de forbliver på netværket i et par måneder, kun for at genoptage aktiviteten igen, når de føler, at kysten er fri.
“Elefantbille er en væsentlig trussel på grund af dens meget organiserede natur og det snigende mønster, hvormed den på intelligent vis lærer ofrenes interne økonomiske systemer og operationer,” sagde Arie Zilberstein, VP of Incident Response hos Sygnia
“Selv efter den første opdagelse har vores eksperter fundet ud af, at Elephant Beetle er i stand til at lægge sig lavt, men forbliver dybt indlejret i en kompromitteret organisations infrastrukturer, hvilket gør den i stand til at genaktivere og fortsætte med at stjæle midler til enhver tid,” tilføjede han.
Analyse af hændelser, der involverer Elephant Beetle – sammen med sætninger og nøgleord brugt i koden, inklusive 'Elephante' – tyder på, at cyberkriminelle bag angrebene er spansktalende. Forskere bemærker også, at mange af kommando- og kontrolserverne, der bruges af Elephant Beetle, ser ud til at være placeret i Mexico.
Ud over dette bemærker Sygnias hændelsesteam, at de værktøjer og teknikker, der er implementeret af Elephant Beetle, meget ligner det, cybersikkerhedsfirmaet Mandiant sporer som FIN13, en cyberkriminel gruppe med fokus på Mexico.
SE: Din træning i cybersikkerhed skal forbedres, fordi hackingangreb kun bliver værre
Det er stærkt overbevist om, at Elephant Beetle stadig aktivt kompromitterer mål, men der er skridt, som organisationer kan tage for at undgå at blive ofre. Nøglen til dette er at anvende patches og sikkerhedsopdateringer for at forhindre angribere i at udnytte kendte sårbarheder for at få fodfæste i netværk. Hvis ældre applikationer ikke kan patches, bør de isoleres fra resten af netværket, når det er muligt.
“Især i kølvandet på udbredte sårbarheder som Log4j, der dominerer branchens samtale, skal organisationer informeres om denne seneste trusselgruppe og sikre, at deres systemer er forberedte til at forhindre et angreb,” sagde Zilberstein.
MERE OM CYBERSIKKERHED
Log4j-fejl: Næsten halvdelen af virksomhedens netværk er blevet angrebet af angribere, der forsøger at bruge denne sårbarhedDenne er, hvordan Formel 1-hold bekæmper cyberangrebDin cybersikkerhedstræning skal forbedres, fordi hackingangreb kun bliver værrePhishing-angreb: Politiet foretager 106 anholdelser, da de opdeler online svindelgruppe strong>Ransomware: Hvordan banker og kreditforeninger kan sikre deres data mod angreb Security TV | Datastyring | CXO | Datacentre