Los investigadores de Sygnia Incident Response han detallado un nuevo actor de amenazas llamado Elephant Beetle, donde se encuentra a la pandilla robando millones de dólares a través de operaciones silenciosas.
Según su informe, Elephant Beetle explota vulnerabilidades conocidas y sin parches y permanece en la red del host durante mucho tiempo observándolo. Después de estudiar lo suficiente, el actor de amenazas inyecta transacciones falsas para desviar fondos de la víctima.
Modus operandi del escarabajo elefante
Los investigadores de Sygnia Incident Response descubrieron un actor de amenazas relativamente nuevo, y lo nombraron como Escarabajo elefante y lo rastreó durante casi dos años antes de exponerlo hoy. Según su informe, el nuevo actor de amenazas está motivado económicamente y utiliza más de 80 herramientas y scripts únicos para robar dinero.
Más en detallese dice que Elephant Beetle apunta a las aplicaciones Java heredadas en los sistemas Linux y explota las siguientes fallas en los sistemas de destino;
- Inyección de lenguaje de expresión de aplicaciones Primefaces (CVE-2017-1000486)
- Explotación de deserialización SOAP de WebSphere Application Server (CVE-2015-7450)
- Explotación de servlet de invocador de SAP NetWeaver (CVE-2010-5326)
- Ejecución remota de código de SAP NetWeaver ConfigServlet (EDB-ID-24963)
Todos los exploits anteriores permitirán que Elephant Beetle ejecute código malicioso de forma remota a través de un shell web especialmente diseñado y ofuscado. Una vez dentro, intentan mezclar sus acciones con el tráfico habitual para pasar desapercibidos. Y esto es imitando paquetes legítimos, disfrazando shells web como fuentes, imágenes o recursos CSS y JS, y usando archivos WAR para empaquetar cargas útiles.
Además, reemplazar o modificar los archivos de la página web predeterminada como iisstart.aspx o default.aspx en los servidores web de IIS también es una forma de ingresar. Este método le brinda al atacante acceso seguro a su shell web a través de Internet u otros servidores conectados, ya que las rutas a esto siempre están abiertas por defecto.
Además, usan un escáner Java personalizado para extraer todas las direcciones IP para un puerto específico o interfaz HTTP y usan credenciales comprometidas o errores RCE para moverse lateralmente dentro de la red. Una vez instalados dentro, la pandilla Elephant Beetle observa las transacciones y comunicaciones en silencio en la red del anfitrión.
Una vez que recopilan suficientes datos, inyectan transacciones fraudulentas en facturas regulares y roban dinero a través de pagos desprevenidos.. Aunque comienzan con pequeños pagos de los mismos, se mantienen constantes y conducen al robo de millones de dólares de tales transacciones. Por lo tanto, los investigadores advirtieron a los usuarios que se mantuvieran atentos, aconsejando lo siguiente:
- Evite usar el procedimiento ‘xp_cmdshell’ y desactívelo en servidores MS-SQL. Supervise los cambios de configuración y el uso de ‘xp_cmdshell’.
- Supervise las implementaciones de WAR y valide que la funcionalidad de implementación de paquetes esté incluida en la política de registro de las aplicaciones relevantes.
- Busque y supervise la presencia y creación de archivos .class sospechosos en las carpetas temporales de las aplicaciones de WebSphere.
- Supervise los procesos que fueron ejecutados por procesos de servicios primarios del servidor web (es decir, ‘w3wp.exe’, ‘tomcat6.exe’) o por procesos relacionados con la base de datos (es decir, ‘sqlservr.exe’).
- Implemente y verifique la segregación entre la DMZ y los servidores internos.
Finalmente, los investigadores dijeron que el actor de amenazas puede pertenecer a América Latina., ya que su código tiene variables y nombres de archivo en español, la mayoría de las direcciones IP C2 se encuentran en México y la carga de su escáner de red personalizado escrito en Java a Virus Total de Argentina. Este grupo también está vinculado a FIN13 de Mandiantrastreado durante años por intenciones similares.
