Jump to content

Elephant Beetle похищает миллионы долларов у организаций по всему миру


Recommended Posts

Elephant Beetle похищает миллионы долларов у организаций по всему миру

15:09 / 5 Января, 2022 2022-01-05T16:09:34+03:00

Alexander Antipov

Хакеры внедряют в сеть мошеннические транзакции и похищают небольшие суммы в течение продолжительного периода времени.

https://www.securitylab.ru/upload/iblock/f49/f49213a08283154c85fbc3f4fe163e10.png

Преследующая финансовую выгоду киберпреступная группировка Elephant Beetle («Жук-слон») похищает миллионы долларов у организаций по всему миру с помощью более чем 80 уникальных инструментов и скриптов.

Группировка отличается высокими техническими навыками и большим терпением – тщательно изучает атакуемую среду и финансовые транзакции жертвы в течение нескольких месяцев и только потом переходит к эксплуатации уязвимостей.

Как сообщает ИБ-компания Sygnia, злоумышленники внедряют в сеть мошеннические транзакции и похищают небольшие суммы в течение продолжительного периода времени. В результате им удается незаметно перевести миллионы долларов. Если жертва их «засекла», хакеры на время залегают на дно, а затем снова возвращаются через другую систему.

Как правило, точкой входа для Elephant Beetle являются устаревшие приложения Java на Linux-системах. Группировка предпочитает не покупать или находить уязвимости нулевого дня, а эксплуатировать известные и скорее всего неисправленные уязвимости (CVE-2017-1000486, CVE-2015-7450, CVE-2010-5326).

Поскольку злоумышленникам требуется много времени на изучение среды и транзакций атакуемой организации, их первоначальной целью является обход обнаружения. Для этого они смешивают свой вредоносный трафик с обычным, подделывая пакеты под легитимные, выдавая web-оболочки за шрифты, изображения или источники CSS и JS и пряча полезную нагрузку в WAR-архивах.

Группировка осуществляет боковое перемещение по сети преимущественно через серверы web-приложений и SQL-серверы с помощью Windows API (SMB/WMI) и xp_cmdshell. Кроме того, она использует бэкдоры.

Elephant Beetle использует переменные кода и имена файлов на испанском языке, а большинство IP-адресов C&C-серверов являются мексиканскими. Сетевой сканер на Java был загружен на Virus Total из Аргентины, вероятно, на ранних этапах разработки и тестирования. Поэтому можно предположить, что группировка связана с Латинской Америкой и может иметь отношение или пересекаться с группировкой FIN13 (классификация ИБ-компании Mandiant).


В нашем телеграм канале мы рассказываем о главных новостях из мира IT, актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру. Узнай первым как выжить в цифровом кошмаре!

Adblock test (Why?)

Link to comment

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...