Forscher bei Sygnia Incident Response haben einen neuen Bedrohungsakteur namens Elephant Beetle detailliert beschrieben. Die Bande stiehlt im Stillen Millionen von Dollar.
Laut ihrem Bericht nutzt der Elefantenkäfer bekannte und ungepatchte Schwachstellen aus und bleibt lange Zeit im Host-Netzwerk, um es zu beobachten. Nachdem der Bedrohungsakteur die Schwachstellen ausreichend untersucht hat, schleust er gefälschte Transaktionen ein, um dem Opfer Geld abzuzweigen.
Modus Operandi des Elefantenkäfers
Ein relativ neuer Bedrohungsakteur wurde von den Forschern bei Sygnia Incident Response entdeckt, die ihn als Elefantenkäfer und habe es fast zwei Jahre lang verfolgt, bevor ich es heute aufgedeckt habe. Ihrem Bericht zufolge ist der neue Bedrohungsakteur finanziell motiviert und verwendet über 80 einzigartige Tools und Skripte, um Geld zu stehlen.
Genauer gesagt soll der Elephant Beetle auf ältere Java-Anwendungen in Linux-Systemen abzielen und die folgenden Schwachstellen in den Zielsystemen ausnutzen:
- Injektion von Primefaces-Anwendungsausdruckssprache (CVE-2017-1000486)
- WebSphere Application Server SOAP-Deserialisierungs-Exploit (CVE-2015-7450)
- SAP NetWeaver Invoker Servlet-Exploit (CVE-2010-5326)
- Remote-Codeausführung für SAP NetWeaver ConfigServlet (EDB-ID-24963)
Alle oben genannten Exploits ermöglichen dem Elephant Beetle die Remote-Ausführung von Schadcode über eine speziell erstellte und verschleierte Web-Shell. Sobald sie sich im System befinden, versuchen sie, ihre Aktionen mit dem normalen Datenverkehr zu vermischen, um unentdeckt zu bleiben. Dies gelingt ihnen, indem sie legitime Pakete imitieren, Webshells als Schriftart, Bild oder CSS- und JS-Ressourcen tarnen und WAR-Archive zum Verpacken von Nutzdaten verwenden.
Auch das Ersetzen oder Ändern der Standard-Webseitendateien wie iisstart.aspx oder default.aspx auf IIS-Webservern ist eine Möglichkeit zum Eindringen. Mit dieser Methode erhält der Bedrohungsakteur sicheren Zugriff auf seine Web-Shell über das Internet oder andere verbundene Server, da die Routen dorthin immer standardmäßig geöffnet sind.
Darüber hinaus verwenden sie einen benutzerdefinierten Java-Scanner, um alle IP-Adressen für einen bestimmten Port oder eine HTTP-Schnittstelle zu ermitteln, und verwenden kompromittierte Anmeldeinformationen oder RCE-Bugs, um sich seitlich im Netzwerk zu bewegen. Sobald sie sich dort eingenistet haben, beobachtet die Elephant Beetle-Bande stillschweigend die Transaktionen und Kommunikationen im Netzwerk des Hosts.
Sobald sie genügend Daten gesammelt haben, fügen sie betrügerische Transaktionen in normale Rechnungen ein und stehlen Geld durch ahnungslose Zahlungen. Obwohl sie mit kleinen Zahlungen beginnen, bleiben sie konsistent und führen dazu, dass durch solche Transaktionen Millionen von Dollar gestohlen werden. Daher warnten die Forscher die Benutzer, wachsam zu bleiben, und gaben den folgenden Rat:
- Vermeiden Sie die Verwendung des Verfahrens „xp_cmdshell“ und deaktivieren Sie es auf MS-SQL-Servern. Überwachen Sie Konfigurationsänderungen und die Verwendung von „xp_cmdshell“.
- Überwachen Sie WAR-Bereitstellungen und überprüfen Sie, ob die Funktionalität der Paketbereitstellung in der Protokollierungsrichtlinie der relevanten Anwendungen enthalten ist.
- Suchen und überwachen Sie das Vorhandensein und die Erstellung verdächtiger .class-Dateien in den temporären Ordnern der WebSphere-Anwendungen.
- Überwachen Sie Prozesse, die entweder von übergeordneten Dienstprozessen des Webservers (z. B. „w3wp.exe“, „tomcat6.exe“) oder von datenbankbezogenen Prozessen (z. B. „sqlservr.exe“) ausgeführt wurden.
- Implementieren und überprüfen Sie die Trennung zwischen DMZ und internen Servern.
Schließlich sagten die Forscher, der Bedrohungsakteur könnte aus Lateinamerika stammenda ihr Code Variablen und Dateinamen auf Spanisch enthält, die meisten C2-IP-Adressen in Mexiko ansässig sind und ihr benutzerdefinierter, in Java geschriebener Netzwerkscanner von Argentinien aus auf Virus Total hochgeladen wird! Diese Gruppe ist auch mit Mandiant’s FIN13 verbunden, das seit Jahren wegen ähnlicher Absichten verfolgt wird.
