Threats

Novo grupo criminoso fica indetetável nos sistemas durante meses

O grupo Elephant Beetle visa, maioritariamente, organizações financeiras e de comércio na América Latina

13/01/2022

Novo grupo criminoso fica indetetável nos sistemas durante meses

Investigadores de cibersegurança estão a alertar para um grupo que tem roubado milhões de dólares de organizações financeiras e de comércio ao longo do último ano, invadindo redes através de aplicações de java legacy, onde permanecem, depois, de forma silenciosa, para aprender processos financeiros internos. O grupo, que os investigadores da Sygnia apelidaram de Elephant Beetle, utiliza uma grande coleção de ferramentas personalizadas e de open source nas suas operações, incluindo backdoors de Java, e é bom a camuflar-se com o ambiente da vítima e os fluxos de tráfego de rede para permanecer indetetável durante meses, explicam os investigadores.

"Se durante os seus esforços qualquer atividade fraudulenta for descoberta e bloqueada, então simplesmente esconderam-se por alguns meses apenas para voltar e visar um sistema diferente", dizem os investigadores da Sygnia.

O Elephant Beetle está a incidir, maioritariamente, em alvos na América Latina, mas atingiu, também, ramos locais de empresas internacionais e as suas atividades poderão expandir-se para outras regiões no futuro. Segundo os investigadores, os métodos de infiltração do grupo não são sofisticados, pelo que não utilizam exploits zero-day. Em vez disso, visa aplicações e servidores java legacy e sem patches, em particular, WebSphere e WebLogic, que estão expostos à Internet.

De acordo com Sygnia, o grupo tem utilizado exploits remote code execution (RCE): Primefaces Application Expression Language Injection (CVE-2017-1000486), WebSphere Application Server SOAP Deserialization Exploit (CVE-2015-7450), SAP NetWeaver Invoker Servlet Exploit (CVE-2010-5326) and SAP NetWeaver ConfigServlet Remote Code Execution (EDB-ID-24963).

Assim que obtêm acesso aos servidores, os atacantes implementam um web Shell script através do qual podem executar vários comandos no servidor. O grupo tem utilizado web shells personalizadas e off-the-shelf, incluindo JspSpy, reGeorge, MiniWebCmdShell e Vonloesch Jsp File Browser. Estas web shells são implantadas nas pastas de recursos das aplicações existentes e imitam os nomes dos ficheiros de recursos existentes, tais como CSS, imagens, fontes e scripts JavaScript. 

O grupo também tenta aceder a interfaces de gestão web como myWebMethods (WMS) e QLogic utilizando credenciais padrão. Assim que ganham acesso ao servidor através de uma web shell, começarão a procurar dentro de scripts e ficheiros de configuração para obter credenciais armazenadas adicionais. Obtendo credenciais adicionais para as ferramentas de gestão do servidor, os atacantes usam-nas para implementar a sua própria aplicação Java sob a forma de um arquivo WAR ou colocá-la dentro de pastas de implementação automática. 

Por outro lado, os investigadores observaram outra técnica – a injeção de código backdoor malicioso em páginas web padrão, tais como iisstart.aspx ou default.aspx em servidores IIS. O acesso a estas páginas geralmente não é bloqueado ou restringido pelas regras de firewall da Web e podem ser acedidos a partir da Internet. Os atacantes do Elephant Beetle também descarregam o source code das aplicações presentes no servidor, para encontrar potenciais vulnerabilidades.

"O grupo criminoso move-se lateralmente dentro da rede, principalmente através de servidores de aplicações web e servidores SQL, aproveitando técnicas conhecidas como API do Windows (SMB/WMI) e 'xp_cmdshell', combinadas com backdoors remote code execution personalizadas e voláteis", dizem os investigadores. No total, o Elephant Beetle foi visto a utilizar mais de 80 ferramentas e scripts diferentes durante as suas operações.


NOTÍCIAS RELACIONADAS

RECOMENDADO PELOS LEITORES

REVISTA DIGITAL

IT SECURITY Nº3 Dezembro 2021

IT SECURITY Nº3 Dezembro 2021

NEWSLETTER

Receba todas as novidades na sua caixa de correio!

O nosso website usa cookies para garantir uma melhor experiência de utilização.