據(jù)The Hacker News網(wǎng)站報道，網(wǎng)絡(luò)安全研究人員揭秘了一個有組織的金融盜竊團伙，該團伙以交易處理系統(tǒng)為目標(biāo)，從拉美地區(qū)的金融實體中竊取資金長達至少4年。

以色列事件響應(yīng)公司 Sygnia將該惡意團伙命名為Elephant Beetle(大象甲蟲)，擅長在長期在不被發(fā)現(xiàn)的情況下運作，融入目標(biāo)環(huán)境，耐心地研究目標(biāo)金融系統(tǒng)，在常規(guī)活動中進行隱秘的欺詐交易，期間利用不少于80種獨特的工具或腳本來執(zhí)行攻擊。

Sygnia事件副總裁阿里齊伯斯坦表示，大象甲蟲的獨特作案手法在于他們對目標(biāo)金融系統(tǒng)和運營有著深入的研究，并不斷尋找技術(shù)上注入金融交易的脆弱點，最終實現(xiàn)重大金融盜竊。鑒于這個團伙在受害者的網(wǎng)絡(luò)中長期存在，他們經(jīng)常改變和調(diào)整他們的技術(shù)和工具，以保持其攻擊的有效性。

阿里齊伯斯坦同樣認(rèn)為，攻擊活動的成功也在于金融機構(gòu)網(wǎng)絡(luò)中存在的遺留系統(tǒng)所提供的巨大攻擊面，這些系統(tǒng)可以作為入口點，從而使攻擊者能夠在目標(biāo)網(wǎng)絡(luò)中獲得長期的立足點。

在執(zhí)行攻擊的過程中，如果不慎被發(fā)現(xiàn)，他們雖會中止行動，但會在幾個月后再度悄悄回歸，初始訪問是通過利用面向外部的基于 Java 的 Web 服務(wù)器(如 WebSphere 和 WebLogic)中未修補的漏洞進行中介，最終部署 Web shell，從而實現(xiàn)遠(yuǎn)程代碼執(zhí)行和橫向移動：

• CVE-2017-1000486(CVSS 分?jǐn)?shù)：9.8)- Primefaces 應(yīng)用程序表達式語言注入
• CVE-2015-7450(CVSS 分?jǐn)?shù)：9.8)——WebSphere Application Server SOAP 反序列化利用
• CVE-2010-5326(CVSS 分?jǐn)?shù)：10.0)——SAP NetWeaver Invoker Servlet 漏洞利用
• EDB-ID-24963 - SAP NetWeaver ConfigServlet 遠(yuǎn)程代碼執(zhí)行

“此次針對拉美金融實體的攻擊，再次強調(diào)了一些做足功課的攻擊者有時會潛伏很長時間。阿里齊伯斯坦說道。“雖然今天很多重點工作都放在避免和預(yù)防迫在眉睫的勒索軟件上，但仍有其他一些攻擊者在網(wǎng)絡(luò)中悄悄擴散，以獲得長期穩(wěn)定的經(jīng)濟收益。“

參考來源：https://thehackernews.com/2022/01/researchers-uncover-hacker-group-behind.html