据The Hacker News网站报道,网络安全研究人员揭秘了一个有组织的金融盗窃团伙,该团伙以交易处理系统为目标,从拉美地区的金融实体中窃取资金长达至少4年。
以色列事件响应公司 Sygnia将该恶意团伙命名为Elephant Beetle(大象甲虫),擅长在长期在不被发现的情况下运作,融入目标环境,耐心地研究目标金融系统,在常规活动中进行隐秘的欺诈交易,期间利用不少于80种独特的工具或脚本来执行攻击。
Sygnia事件副总裁阿里齐伯斯坦表示,大象甲虫的独特作案手法在于他们对目标金融系统和运营有着深入的研究,并不断寻找技术上注入金融交易的脆弱点,最终实现重大金融盗窃。鉴于这个团伙在受害者的网络中长期存在,他们经常改变和调整他们的技术和工具,以保持其攻击的有效性。
阿里齐伯斯坦同样认为,攻击活动的成功也在于金融机构网络中存在的遗留系统所提供的巨大攻击面,这些系统可以作为入口点,从而使攻击者能够在目标网络中获得长期的立足点。
在执行攻击的过程中,如果不慎被发现,他们虽会中止行动,但会在几个月后再度悄悄回归,初始访问是通过利用面向外部的基于 Java 的 Web 服务器(如 WebSphere 和 WebLogic)中未修补的漏洞进行中介,最终部署 Web shell,从而实现远程代码执行和横向移动:
- CVE-2017-1000486(CVSS 分数:9.8)- Primefaces 应用程序表达式语言注入
- CVE-2015-7450(CVSS 分数:9.8)——WebSphere Application Server SOAP 反序列化利用
- CVE-2010-5326(CVSS 分数:10.0)——SAP NetWeaver Invoker Servlet 漏洞利用
- EDB-ID-24963 - SAP NetWeaver ConfigServlet 远程代码执行
“此次针对拉美金融实体的攻击,再次强调了一些做足功课的攻击者有时会潜伏很长时间。阿里齐伯斯坦说道。“虽然今天很多重点工作都放在避免和预防迫在眉睫的勒索软件上,但仍有其他一些攻击者在网络中悄悄扩散,以获得长期稳定的经济收益。“
参考来源:https://thehackernews.com/2022/01/researchers-uncover-hacker-group-behind.html
