Контакты
Подписка 2024
Персональные данные
4 апреля. Персональные данные в 2024 году: регулирование, практика, тенденции
Регистрируйтесь на онлайн-конференцию!

Elephant Beetle похищает миллионы долларов у организаций по всему миру

10/01/22

hack70-Jan-10-2022-09-54-53-24-AMПреследующая финансовую выгоду киберпреступная группировка Elephant Beetle («Жук-слон») похищает миллионы долларов у организаций по всему миру с помощью более чем 80 уникальных инструментов и скриптов.

Группировка отличается высокими техническими навыками и большим терпением – тщательно изучает атакуемую среду и финансовые транзакции жертвы в течение нескольких месяцев и только потом переходит к эксплуатации уязвимостей.

Как сообщает ИБ-компания Sygnia, злоумышленники внедряют в сеть мошеннические транзакции и похищают небольшие суммы в течение продолжительного периода времени. В результате им удается незаметно перевести миллионы долларов. Если жертва их «засекла», хакеры на время залегают на дно, а затем снова возвращаются через другую систему.

Как правило, точкой входа для Elephant Beetle являются устаревшие приложения Java на Linux-системах. Группировка предпочитает не покупать или находить уязвимости нулевого дня, а эксплуатировать известные и скорее всего неисправленные уязвимости (CVE-2017-1000486, CVE-2015-7450, CVE-2010-5326).

Поскольку злоумышленникам требуется много времени на изучение среды и транзакций атакуемой организации, их первоначальной целью является обход обнаружения. Для этого они смешивают свой вредоносный трафик с обычным, подделывая пакеты под легитимные, выдавая web-оболочки за шрифты, изображения или источники CSS и JS и пряча полезную нагрузку в WAR-архивах.

Группировка осуществляет боковое перемещение по сети преимущественно через серверы web-приложений и SQL-серверы с помощью Windows API (SMB/WMI) и xp_cmdshell. Кроме того, она использует бэкдоры.

Elephant Beetle использует переменные кода и имена файлов на испанском языке, а большинство IP-адресов C&C-серверов являются мексиканскими. Сетевой сканер на Java был загружен на Virus Total из Аргентины, вероятно, на ранних этапах разработки и тестирования. Поэтому можно предположить, что группировка связана с Латинской Америкой и может иметь отношение или пересекаться с группировкой FIN13 (классификация ИБ-компании Mandiant).

Темы:ПреступленияКиберугрозыSygnia
NGFW
9 апреля. Отечественные NGFW: как защитить облачную инфраструктуру и настроить обнаружение кибератак
Участвуйте и представляйте решения!

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...