Researchers telah mengidentifikasi kelompok ancaman yang diam-diam menyedot jutaan dolar dari perusahaan sektor keuangan dan perdagangan, menghabiskan waktu berbulan-bulan dengan sabar mempelajari sistem keuangan target mereka dan menyelinap dalam transaksi penipuan di antara aktivitas rutin.
Tim Respon Insiden Sygnia telah melacak kelompok, yang diberi nama Kumbang Gajah, alias TG2003, selama dua tahun.
Dalam laporan hari Rabu, para peneliti menyebut serangan Kumbang Gajah tanpa henti, karena kelompok itu telah bersembunyi “di depan mata” tanpa perlu mengembangkan eksploitasi.
Mungkin Kumbang Gajah tidak’ t memiliki eksploitasi, tetapi penyerang pasti tidak muncul dengan tangan kosong. Mereka mengandalkan gudang lebih dari 80 alat dan skrip unik untuk beroperasi tanpa terdeteksi “untuk waktu yang lama” saat mereka dengan sabar menanam transaksi palsu mereka, kata Sygnia, “menyatu dengan lingkungan target dan benar-benar tidak terdeteksi sementara secara diam-diam membebaskan organisasi jumlah uang yang selangit.”
Elephant Beetle terutama memusatkan perhatiannya pada pasar Amerika Latin, tetapi tidak menyayangkan organisasi yang tidak berbasis di sana. Tim IR Sygnia baru-baru ini menemukan dan menanggapi satu insiden di sebuah perusahaan yang berbasis di AS yang menjalankan cabang di Amerika Latin. “Karena itu, organisasi regional dan global harus waspada,” Sygnia memperingatkan.
A Bug-Chugging Java
Kumbang ini menyukai Jawa. Kelompok ini “sangat mahir” dengan serangan berbasis Java dan sering menargetkan aplikasi Java lama yang berjalan di mesin Linux – terutama, server web berbasis Java WebSphere dan WebLogic – sebagai sarana awal masuk ke lingkungan target, para peneliti menjelaskan. Di luar itu, Elephant Beetle bahkan menyebarkan sendiri, aplikasi web Java lengkap untuk melakukan penawaran geng pada mesin yang disusupi yang, sementara itu, terus berjalan, menjalankan aplikasi yang sah. Laporan lengkap (PDF)
Sygnia memaparkan modus operandi Elephant Beetle secara mendalam analisis kemampuannya, wawasan yang dapat ditindaklanjuti, insiden kompromi (IOC) dan pedoman untuk mempertahankan diri dari serangan.
Tahap Serangan
Tapi singkatnya, beginilah perkembangan serangan:
Selama hingga satu bulan, grup membangun kemampuan siber operasional di wilayah yang disusupi jaringan korban, mempelajari lanskap digital dan menanam pintu belakang, sambil menyesuaikan alatnya untuk bekerja di dalam jaringan korban.
Para penyerang menghabiskan beberapa bulan mempelajari lingkungan korban, berfokus pada operasi keuangan dan mengidentifikasi kekurangan apa pun. Selama tahap ini, Elephant Beetle mengamati perangkat lunak dan infrastruktur korban untuk memahami proses teknis transaksi keuangan yang sah.
Selanjutnya, grup menyuntikkan transaksi penipuan ke dalam jaringan. “Transaksi ini meniru perilaku yang sah dan menyedot sejumlah uang tambahan dari korban, sebuah taktik salami klasik,” jelas peneliti Sygnia, mengacu pada apa yang disebut sebagai bentuk serangan siber keuangan, di mana dana yang dirampok sangat kecil. bahwa satu kasus tidak diperhatikan sama sekali. Jumlahnya mungkin tampak sepele, tetapi kelompok itu terus menumpuknya hingga berjumlah jutaan dolar sebelum penyerang melanjutkan.
Tidak masalah jika aktivitas kelompok itu ditemukan dan diblokir: Mereka hanya akan diam selama beberapa bulan, lalu lingkari kembali ke target sistem.
Lateral diagram alur gerakan yang berbeda. Sumber: Sygnia.
Memilih Selain Kerentanan
Grup ini mengeksploitasi kerentanan yang diketahui untuk menyusup ke organisasi, kemudian menggunakan server yang disusupi untuk membuat vektor persisten dalam jaringan dan untuk beralih ke pengambilan kredensial dan pergerakan lateral.
Sygnia mengamati grup menggunakan kredensial default untuk mengautentikasi myWebMethods (“WMS ”) dan antarmuka manajemen web QLogic.
“Misalnya, grup memanfaatkan kata sandi default ‘kelola’ dari pengguna sistem istimewa ‘sysadmin’ server WMS,” para peneliti mendetail.
Elephant Beetle juga mengeksploitasi empat kerentanan berikut untuk mendapatkan jaringan akses:
Primefaces Application Expression Language Injection (CVE-2017-1000486).
WebSphere Application Server SOAP Deserialization Exploit (CVE-2015-7450).
SAP NetWeaver Invoker Servlet Exploit (CVE-2010-5326).
SAP NetWeaver ConfigServlet EDB Remote Code Execution -ID-24963).
Semua kuartet kelemahan memungkinkan aktor untuk mengeksekusi gunakan kode arbitrer dari jarak jauh melalui shell web yang dibuat khusus dan dikaburkan. Perusahaan keamanan memberikan contoh berikut dari permintaan web yang dikirim oleh grup ancaman ke salah satu portal SAP korban. Ini mengeksploitasi masalah eksekusi kode jarak jauh SAP ConfigServlet dan berisi perintah satu baris yang membuat web shell.
Sumber: Sygnia.
Laying Low
Untuk tetap tidak terdeteksi selama berbulan-bulan, Elephant Beetle bersembunyi, terlibat dalam aktivitas rendah atau tidak ada sama sekali , dan/atau meniru lingkungannya dengan melakukan hal-hal seperti memasukkan cangkang web ke dalam folder sumber daya dari setiap aplikasi web, atau dengan menyamar sebagai font, gambar, sumber daya CSS dan JS, dengan nama yang mirip dengan file asli di folder ini – tetapi dengan a ‘.JSP’ extension.
Contoh penamaan shell web dan konvensi lokasi di dalam folder sumber daya situs web. Sumber: Sygnia.
Mereka meningkat saat siap menyerang, menggunakan arsip WAR untuk mengemas muatan. Taktik ini dianggap “super-persisten” di beberapa server web, khususnya WebSphere dan WebMethods, “karena fakta bahwa penghapusan file shell web tidak cukup, karena halaman web sedang dimuat dan disimpan di memori proses server. ,” kata para peneliti.
Taktik, teknik, dan prosedur (TTP) lain yang digunakan oleh grup tersebut meliputi:
- Memodifikasi atau mengganti file halaman web default, memungkinkan akses “hampir dijamin” ke shell web mereka dari server lain atau dari internet – akses yang tidak diklasifikasikan sebagai mencurigakan.
Pen-testing taktik: Elephant Beetle menggunakan pemindai tulisan Java khusus yang mendukung pemindaian rentang IP/daftar alamat IP untuk port tertentu atau untuk antarmuka HTTP. “Ini digunakan untuk memindai target di dekat aset dan kemudian dimanfaatkan untuk mengidentifikasi aplikasi yang diinstal, yang dapat dieksploitasi,” kata Sygnia. TTP pengujian pena lainnya termasuk mengunduh kode sumber aplikasi.
Mal Hombres
Sygnia menemukan sejumlah ikatan dengan negara-negara berbahasa Spanyol:
- Kata kunci dan frasa hardcoded dalam alat grup termasuk, misalnya, variabel kode bernama “ELEPHANTE” (bahasa Spanyol yang hancur untuk gajah) , serta dalam nama file keluaran yang digunakan grup, seperti “windows_para_linux.”
Sebagian besar server command-and-control (C2) grup memiliki IP yang berlokasi di Meksiko.
Target grup sebagian besar adalah Amerika Latin. “Misalnya, salah satu alat yang digunakan grup untuk memindai jaringan internal ‘p.j’ diunggah ke VirusTotal dari Argentina,” kata Sygnia. “Ini sekali lagi menunjukkan bahwa kelompok tersebut menargetkan korban yang berbahasa Spanyol.”
Menahan Terhadap Serangan Elefante
Memperbarui patch adalah hal yang mudah – terutama mengingat berapa lama kerentanan yang dieksploitasi oleh Elephant Beetle. Di antara itu dan praktik terbaik keamanan sehari-hari lainnya, seperti menghindari kredensial teks-jelas yang digunakan dalam skrip, Sygnia menyarankan:
- Hindari menggunakan prosedur ‘xp_cmdshell’ dan nonaktifkan di server MS-SQL. Memantau perubahan konfigurasi dan penggunaan ‘xp_cmdshell’.
Monitor WAR penyebaran dan memvalidasi bahwa fungsionalitas penyebaran paket disertakan dalam kebijakan pencatatan aplikasi yang relevan.
Hunt dan memantau keberadaan dan pembuatan file .class yang mencurigakan di aplikasi WebSphere temp folders.
Monitor untuk proses yang dijalankan oleh proses layanan induk server web (yaitu, ‘w3wp.exe’, ‘Tomcat6.exe’) atau oleh proses terkait database (yaitu, ‘sqlservr.exe’).
Implementasikan dan verifikasi pemisahan antara DMZ dan server internal.
Selain itu, organisasi akan disarankan untuk secara proaktif berburu IOC dan TTP Kumbang Gajah, yang tercantum dalam laporannya, dalam jaringan mereka.
PasswordReset: Acara Sesuai Permintaan: Perkuat 2022 dengan kata sandi- strategi keamanan yang dibangun untuk ancaman hari ini. Meja Bundar Keamanan Threatpost ini, dibuat untuk para profesional infosec, berpusat pada manajemen kredensial perusahaan, dasar-dasar kata sandi baru, dan mengurangi pelanggaran pasca-kredensial. Bergabunglah dengan Darren James, dengan Specops Software dan Roger Grimes, penginjil pertahanan di KnowBe4 dan pembawa acara Threatpost Becky Bracken. Daftar & streaming sesi GRATIS ini hari ini – disponsori oleh Specops Software.
Image milik Phil. Detail lisensi.
Tulis komentar
Bagikan artikel ini:
<
ul>iKerentananliu
- iKeamanan Web