Контакты
Подписка 2024
DCAP и DLP
13 марта. Защита корпоративных данных: достаточно ли внедрить DCAP и DLP?
Представляйте решения на онлайн-конференции!

Elephant Beetle похищает миллионы долларов у организаций по всему миру

10/01/22

hack70-Jan-10-2022-09-54-53-24-AMПреследующая финансовую выгоду киберпреступная группировка Elephant Beetle («Жук-слон») похищает миллионы долларов у организаций по всему миру с помощью более чем 80 уникальных инструментов и скриптов.

Группировка отличается высокими техническими навыками и большим терпением – тщательно изучает атакуемую среду и финансовые транзакции жертвы в течение нескольких месяцев и только потом переходит к эксплуатации уязвимостей.

Как сообщает ИБ-компания Sygnia, злоумышленники внедряют в сеть мошеннические транзакции и похищают небольшие суммы в течение продолжительного периода времени. В результате им удается незаметно перевести миллионы долларов. Если жертва их «засекла», хакеры на время залегают на дно, а затем снова возвращаются через другую систему.

Как правило, точкой входа для Elephant Beetle являются устаревшие приложения Java на Linux-системах. Группировка предпочитает не покупать или находить уязвимости нулевого дня, а эксплуатировать известные и скорее всего неисправленные уязвимости (CVE-2017-1000486, CVE-2015-7450, CVE-2010-5326).

Поскольку злоумышленникам требуется много времени на изучение среды и транзакций атакуемой организации, их первоначальной целью является обход обнаружения. Для этого они смешивают свой вредоносный трафик с обычным, подделывая пакеты под легитимные, выдавая web-оболочки за шрифты, изображения или источники CSS и JS и пряча полезную нагрузку в WAR-архивах.

Группировка осуществляет боковое перемещение по сети преимущественно через серверы web-приложений и SQL-серверы с помощью Windows API (SMB/WMI) и xp_cmdshell. Кроме того, она использует бэкдоры.

Elephant Beetle использует переменные кода и имена файлов на испанском языке, а большинство IP-адресов C&C-серверов являются мексиканскими. Сетевой сканер на Java был загружен на Virus Total из Аргентины, вероятно, на ранних этапах разработки и тестирования. Поэтому можно предположить, что группировка связана с Латинской Америкой и может иметь отношение или пересекаться с группировкой FIN13 (классификация ИБ-компании Mandiant).

Темы:ПреступленияКиберугрозыSygnia
Российские платформы виртуализации
21 марта. Российские платформы виртуализации: безопасность, производительность, совместимость
Участвуйте и представляйте решения!

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
14 марта. Автоматизация реагирования на инциденты по информационной безопасности
Участвуйте!

Еще темы...

More...