Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Keuangan

Keuangan

‘Elephant Beetle’ Menghabiskan Waktu Berbulan-bulan di Jaringan Korban untuk Mengalihkan Transaksi

by

Seorang aktor bermotivasi finansial yang dijuluki ‘Elephant Beetle’ mencuri jutaan dolar dari organisasi di seluruh dunia menggunakan gudang lebih dari 80 alat dan skrip unik.

Kelompok ini sangat canggih dan sabar, menghabiskan berbulan-bulan mempelajari lingkungan korban dan proses transaksi keuangan, dan baru kemudian bergerak untuk mengeksploitasi kekurangan dalam operasi.

Para aktor menyuntikkan transaksi penipuan ke dalam jaringan dan mencuri sejumlah kecil dalam waktu lama, yang mengarah ke pencurian keseluruhan jutaan dolar. Jika mereka terlihat, mereka berbaring rendah untuk sementara waktu dan kembali melalui sistem yang berbeda.

Keahlian ‘Elephant Beetle’ tampaknya dalam menargetkan aplikasi Java warisan pada sistem Linux, yang biasanya merupakan titik masuk mereka ke jaringan perusahaan.

TTP aktor tersebut diekspos dalam laporan teknis terperinci yang dibagikan tim Respons Insiden Sygnia dengan Bleeping Computer sebelum dipublikasikan.

Mengeksploitasi kekurangan dan berbaur dengan lalu lintas normal

‘Elephant Beetle’ lebih suka menargetkan kerentanan yang diketahui dan kemungkinan tidak ditampar daripada membeli atau mengembangkan eksploitasi zero-day.

Peneliti Sygnia telah mengamati kelompok tersebut selama dua tahun dan dapat mengkonfirmasi aktor ancaman yang mengeksploitasi kekurangan berikut:

  • Injeksi Bahasa Ekspresi Aplikasi Primefaces (CVE-2017-1000486)
  • WebSphere Application Server SOAP Deserialization Exploit (CVE-2015-7450)
  • SAP NetWeaver Invoker Servlet Exploit (CVE-2010-5326)
  • Eksekusi Kode Jarak Jauh SAP NetWeaver ConfigServlet (EDB-ID-24963)

Keempat kekurangan di atas memungkinkan para aktor untuk mengeksekusi kode sewenang-wenang dari jarak jauh melalui shell web yang dibuat khusus dan dikaburkan.

Atribusi dan tips pertahanan

‘Elephant Beetle’ menggunakan variabel kode Spanyol dan nama file, dan sebagian besar alamat IP C2 yang mereka gunakan berbasis di Meksiko.

Juga, pemindai jaringan yang ditulis Java diunggah ke Virus Total dari Argentina, mungkin selama fase pengembangan dan pengujian awal.

Dengan demikian, kelompok ini tampaknya terhubung ke Amerika Latin dan mungkin memiliki hubungan atau tumpang tindih dengan aktor FIN13, dilacak oleh Mandiant.

Beberapa saran dasar untuk membela terhadap aktor ini meliputi:

  • Hindari menggunakan prosedur ‘xp_cmdshell’ dan nonaktifkan di server MS-SQL. Pantau perubahan konfigurasi dan penggunaan ‘xp_cmdshell’.
  • Pantau penyebaran WAR dan validasi bahwa fungsi penyebaran paket termasuk dalam kebijakan pencatatan aplikasi yang relevan.
  • Berburu dan memantau keberadaan dan pembuatan file .class yang mencurigakan di folder temp aplikasi WebSphere.
  • Memantau proses yang dijalankan oleh proses layanan induk server web (yaitu, ‘w3wp.exe’, ‘tomcat6.exe’) atau oleh proses terkait database (yaitu, ‘sqlservr.exe’).
  • Menerapkan dan memverifikasi segregasi antara DMZ dan server internal.

Selengkapnya: Bleepingcomputer