據(jù)The Hacker News網(wǎng)站報(bào)道，網(wǎng)絡(luò)安全研究人員揭秘了一個(gè)有組織的金融盜竊團(tuán)伙，該團(tuán)伙以交易處理系統(tǒng)為目標(biāo)，從拉美地區(qū)的金融實(shí)體中竊取資金長達(dá)至少4年。

以色列事件響應(yīng)公司 Sygnia將該惡意團(tuán)伙命名為Elephant Beetle(大象甲蟲)，擅長在長期在不被發(fā)現(xiàn)的情況下運(yùn)作，融入目標(biāo)環(huán)境，耐心地研究目標(biāo)金融系統(tǒng)，在常規(guī)活動(dòng)中進(jìn)行隱秘的欺詐交易，期間利用不少于80種獨(dú)特的工具或腳本來執(zhí)行攻擊。

Sygnia事件副總裁阿里齊伯斯坦表示，大象甲蟲的獨(dú)特作案手法在于他們對目標(biāo)金融系統(tǒng)和運(yùn)營有著深入的研究，并不斷尋找技術(shù)上注入金融交易的脆弱點(diǎn)，最終實(shí)現(xiàn)重大金融盜竊。鑒于這個(gè)團(tuán)伙在受害者的網(wǎng)絡(luò)中長期存在，他們經(jīng)常改變和調(diào)整他們的技術(shù)和工具，以保持其攻擊的有效性。

阿里齊伯斯坦同樣認(rèn)為，攻擊活動(dòng)的成功也在于金融機(jī)構(gòu)網(wǎng)絡(luò)中存在的遺留系統(tǒng)所提供的巨大攻擊面，這些系統(tǒng)可以作為入口點(diǎn)，從而使攻擊者能夠在目標(biāo)網(wǎng)絡(luò)中獲得長期的立足點(diǎn)。

在執(zhí)行攻擊的過程中，如果不慎被發(fā)現(xiàn)，他們雖會(huì)中止行動(dòng)，但會(huì)在幾個(gè)月后再度悄悄回歸，初始訪問是通過利用面向外部的基于 Java 的 Web 服務(wù)器(如 WebSphere 和 WebLogic)中未修補(bǔ)的漏洞進(jìn)行中介，最終部署 Web shell，從而實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行和橫向移動(dòng)：

• CVE-2017-1000486(CVSS 分?jǐn)?shù)：9.8)- Primefaces 應(yīng)用程序表達(dá)式語言注入
• CVE-2015-7450(CVSS 分?jǐn)?shù)：9.8)——WebSphere Application Server SOAP 反序列化利用
• CVE-2010-5326(CVSS 分?jǐn)?shù)：10.0)——SAP NetWeaver Invoker Servlet 漏洞利用
• EDB-ID-24963 - SAP NetWeaver ConfigServlet 遠(yuǎn)程代碼執(zhí)行

“此次針對拉美金融實(shí)體的攻擊，再次強(qiáng)調(diào)了一些做足功課的攻擊者有時(shí)會(huì)潛伏很長時(shí)間。阿里齊伯斯坦說道。“雖然今天很多重點(diǎn)工作都放在避免和預(yù)防迫在眉睫的勒索軟件上，但仍有其他一些攻擊者在網(wǎng)絡(luò)中悄悄擴(kuò)散，以獲得長期穩(wěn)定的經(jīng)濟(jì)收益。“

參考來源：https://thehackernews.com/2022/01/researchers-uncover-hacker-group-behind.html