网络安全研究人员发现了一个针对拉丁美洲交易处理系统的有组织的金融盗窃团伙。从该地区的金融实体盗窃资金至少4年。以色列事件响应公司Sygnia将这个恶意团体命名为象甲虫(ElephantBeetle),擅长在不被发现的情况下长时间运作,融入目标环境,耐心研究目标金融系统,在日常工作中进行隐身诈骗活动交易,使用不少于80个独特的工具或脚本来执行攻击。Sygnia事件副总裁AliZilberstein表示,象甲虫的独特作案手法是,他们对目标金融系统和操作进行深入研究,不断寻找技术漏洞注入金融交易,最终实现重大金融盗窃。鉴于该组织长期存在于受害者的网络中,他们经常改变和调整他们的技术和工具以保持攻击的有效性。AliZilberstein还认为,该活动的成功还归功于金融机构网络中存在的遗留系统提供的巨大攻击面,这些系统可以作为切入点,使攻击者能够在目标网络中获得长期立足点。在执行攻击的过程中,如果不慎被抓到,他们会暂停行动,但会在几个月后悄悄回归。初始访问是通过使用面向外部的基于Java的Web服务器未修补的漏洞中介最终部署Webshell,从而实现远程代码执行和横向移动:CVE-2017-1000486(CVSS分数:9.8)-Primefaces应用程序表达式语言注入CVE-2015-7450(CVSS分数:9.8)-WebSphereApplicationServerSOAP反序列化漏洞利用CVE-2010-5326(CVSS分数:10.0)-SAPNetWeaverInvokerServlet漏洞利用EDB-ID-24963-SAPNetWeaverConfigServlet远程代码执行“此攻击AliZilberstein说,拉丁美洲金融实体的攻击再次凸显了一个事实,即做好功课的攻击者有时可能会埋伏很长时间。“虽然今天的大部分重点是避免和预防迫在眉睫的勒索软件,但还有其他攻击者在网络中悄悄扩散,以获取长期稳定的经济利益。”参考来源:https://thehackernews.com/2022/01/researchers-uncover-hacker-group-behind.html
