研究人员发现有组织的金融盗窃行动背后的黑客组织

网络安全研究人员对一名谨慎的参与者进行的一次有组织的金融盗窃行动进行了揭露,该行动的目标是交易处理系统,并从主要位于拉丁美洲的实体那里挪用资金至少四年。
这个恶意黑客组织的代号为象甲虫由以色列事件响应公司Sygnia发起,在对目标公司的财务结构进行广泛研究后,通过在良性活动中注入欺诈性交易,入侵目标银行和零售公司。
研究人员在与《黑客新闻》分享的一份报告中说:“这起攻击是无情的,其巧妙的简单性是一种理想的策略,可以隐藏在显而易见的地方,而无需开发漏洞。”研究人员指出,该组织与Mandiant追踪的另一个组织存在重叠,即FIN13,早在2016年,墨西哥就有一名“勤奋”的威胁参与者与数据盗窃和勒索软件攻击有关。
据说大象甲虫利用不少于80种独特的工具和脚本来执行攻击,同时采取措施长期融入受害者的环境以实现其目标。
“与大象甲虫有关的独特作案手法是,他们对受害者的金融系统和运营进行了深入研究和了解,并持续寻找脆弱的方法,从技术上注入金融交易,最终导致重大金融盗窃,”Arie Zilberstein说,Sygnia事件响应副总裁告诉黑客新闻。“鉴于这个群体在受害者的网络中长期存在,他们经常改变和调整他们的技术和工具,以继续保持相关性。”

齐尔伯斯坦将此次行动的成功归因于遗留系统提供的巨大攻击面,这些系统存在于金融机构的网络中,可以作为入口点,从而使攻击者能够在目标网络中获得永久的立足点。
对手的技术和程序遵循一种低调的模式,首先是植入后门来研究受害者的环境,特别是为了了解用于促进金融交易的各种流程,然后将自己的恶意交易插入网络,从目标公司窃取增量资金,以避免引发警报。
But in the event the actor's fraudulent actions come to light, they temporarily cease their operations only to return a few months later. The initial access is brokered by taking advantage of unpatched flaws in publicly-exposed Java-based web servers such as WebSphere and WebLogic, ultimately leading to the deployment of web shells that enable remote code execution and lateral movement —
- CVE-2017-1000486(CVSS分数:9.8)-Primefaces应用程序表达式语言注入
- CVE-2015-7450(CVSS分数:9.8)-WebSphere Application Server SOAP反序列化攻击
- CVE-2010-5326(CVSS分数:10.0)-SAP NetWeaver调用程序Servlet漏洞
- EDB-ID-24963-SAP NetWeaver ConfigServlet远程代码执行
而web shell则被塑造成字体、图像或CSS和JavaScript资源,并带有“.JSP”扩展以进一步进行长期监控,而运营商也依靠多种技术,从覆盖无威胁的文件到完全替换web服务器上的默认网页文件(如iisstart.aspx或default.aspx),为未来的攻击做好准备。
Zilberstein说:“这次攻击再次强调,复杂的攻击者有时会在网络中潜伏很长时间。”。“虽然如今人们非常重视避免和防止勒索软件的迫在眉睫的风险,但其他一些威胁行为体仍在行动,在网络中秘密扩散自己,以获得长期稳定的财务收益。”
Zilberstein补充道:“组织需要特别注意这些系统,尤其是那些面向外部的系统,并进行修补和持续搜索,以防止和检测类似性质的攻击。”。