"Elephant Beetle" passe des mois dans les réseaux de victimes pour détourner des transactions

Un acteur à motivation financière surnommé « Elephant Beetle » vole des millions de dollars à des organisations du monde entier en utilisant un arsenal de plus de 80 outils et scripts uniques.

Le groupe est très sophistiqué et patient, passant des mois à étudier l’environnement de la victime et les processus de transaction financière, et ce n’est qu’ensuite qu’il se déplace pour exploiter les failles de l’opération.

Les acteurs injectent des transactions frauduleuses dans le réseau et volent de petites sommes sur de longues périodes, conduisant à un vol global de millions de dollars. S’ils sont repérés, ils restent bas pendant un certain temps et reviennent par un système différent.

L’expertise de « Elephant Beetle » semble être de cibler les applications Java héritées sur les systèmes Linux, qui sont généralement leur point d’entrée vers les réseaux d’entreprise.

Les TTP de l’acteur sont exposés dans un rapport technique détaillé que l’équipe Sygnia Incident Response a partagé avec EZpublish-france.fr avant sa publication.

Exploiter les failles et se fondre dans le trafic normal

« Elephant Beetle » préfère cibler les vulnérabilités connues et probablement non corrigées au lieu d’acheter ou de développer des exploits zero-day.

Les chercheurs de Sygnia observent le groupe depuis deux ans et peuvent confirmer les acteurs de la menace exploitant les failles suivantes :

Injection de langage d’expression d’application Primefaces (CVE-2017-1000486)
Exploit de désérialisation SOAP de WebSphere Application Server (CVE-2015-7450)
Exploitation de servlet SAP NetWeaver Invoker (CVE-2010-5326)
Exécution de code à distance SAP NetWeaver ConfigServlet (EDB-ID-24963)

Les quatre failles ci-dessus permettent aux acteurs d’exécuter du code arbitraire à distance via un shell Web spécialement conçu et obscurci.

Un exemple d'exploitation SAP — Un exemple d’exploitation SAP
*Source : Sygnia*

Les acteurs doivent mener une surveillance et des recherches à long terme, de sorte que le prochain objectif principal est de rester non détecté pendant plusieurs mois.

Pour y parvenir, ils essaient de se fondre dans le trafic régulier en imitant des packages légitimes, en déguisant les shells Web en ressources de police, d’image ou CSS et JS, et en utilisant des archives WAR pour emballer les charges utiles.

Webshells cachés dans les dossiers de ressources
*Source : Sygnia*

« Les voleurs d’Elephant Beetle essaieront également d’écraser littéralement les fichiers non menaçants, alors qu’ils se préparent lentement à la véritable attaque », détaille le Rapport Sygnia.

« Une autre technique utilisée par l’acteur menaçant consistait à modifier ou à remplacer complètement les fichiers de page Web par défaut, c’est-à-dire à remplacer iisstart.aspx ou default.aspx sur les serveurs Web IIS. »

« L’utilisation de cette technique a permis au groupe de menaces deux choses – la première est un accès presque garanti à leur shell Web à partir d’autres serveurs ou d’Internet, car les routes pour cela sont souvent autorisées par défaut. »

Déplacement latéral à travers des portes dérobées personnalisées

Une fois que le premier serveur Web a été compromis, l’acteur malveillant utilise un scanner Java personnalisé qui récupère une liste d’adresses IP pour un port ou une interface HTTP spécifique.

Cet outil est très polyvalent et configurable, et Sygnia rapporte qu’il a été largement utilisé dans les opérations observées sur les « Elephant Beetle ».

Après avoir identifié les points pivots potentiels du serveur interne, les acteurs utilisent des informations d’identification compromises ou des failles RCE pour se propager latéralement à d’autres appareils du réseau.

Mouvement latéral du scarabée éléphant
*Source : Sygnia*

« Le groupe de menaces se déplace latéralement au sein du réseau, principalement via des serveurs d’applications Web et des serveurs SQL, en exploitant des techniques connues telles que les API Windows (SMB/WMI) et ‘xp_cmdshell’, combinées à des portes dérobées volatiles d’exécution à distance personnalisées. – Sygnie.

Le groupe utilise deux portes dérobées à une ligne qui facilitent le mouvement latéral ; un PowerShell codé en Base64 et une porte dérobée de connexion arrière Perl.

La porte dérobée Perl utilisée par les acteurs
*Source : Sygnia*

La première porte dérobée simule un serveur Web et lie un canal d’exécution de code à distance aux ports cibles, tandis que la seconde exécute un shell interactif pour la communication C2 (réception et sortie de commandes).

Dans de rares cas, les pirates ont utilisé une troisième porte dérobée pour l’exécution du shellcode sur l’hôte via un tunnel crypté créé à l’aide d’un ensemble de certificats codés en dur.

Conseils d’attribution et de défense

« Elephant Beetle » utilise des variables de code et des noms de fichiers espagnols, et la majorité des adresses IP C2 qu’ils utilisent sont basées au Mexique.

De plus, le scanner de réseau écrit en Java a été téléchargé sur Virus Total depuis l’Argentine, probablement au début de la phase de développement et de test.

En tant que tel, le groupe semble être connecté à l’Amérique latine et peut avoir une relation ou un chevauchement avec le acteur FIN13, suivi par Mandiant.

Voici quelques conseils de base pour se défendre contre cet acteur :

Évitez d’utiliser la procédure ‘xp_cmdshell’ et désactivez-la sur les serveurs MS-SQL. Surveillez les changements de configuration et l’utilisation de ‘xp_cmdshell’.
Surveillez les déploiements WAR et vérifiez que la fonctionnalité de déploiement des packages est incluse dans la politique de journalisation des applications concernées.
Recherchez et surveillez la présence et la création de fichiers .class suspects dans les dossiers temporaires des applications WebSphere.
Surveillez les processus qui ont été exécutés par les processus de services parents du serveur Web (c’est-à-dire « w3wp.exe », « tomcat6.exe ») ou par les processus liés à la base de données (c’est-à-dire « sqlservr.exe »).
Mettre en œuvre et vérifier la ségrégation entre la DMZ et les serveurs internes.

Enfin, assurez-vous de récupérer les indicateurs de compromission (IoC) du rapport de Sygnia qui vous aideront à rechercher de manière proactive «Elephant Beetle».

Étant donné que cet acteur exploite des vulnérabilités anciennes et non corrigées pour la compromission initiale, il est crucial de maintenir toutes vos applications à jour avec les derniers correctifs de sécurité.

« Elephant Beetle » passe des mois dans les réseaux de victimes pour détourner des transactions

Exploiter les failles et se fondre dans le trafic normal

Déplacement latéral à travers des portes dérobées personnalisées

Conseils d’attribution et de défense

Vulnérabilité critique F5 BIG-IP ciblée par des attaques destructrices

Le centre de cybersécurité britannique a envoyé 33 millions d’alertes aux entreprises

GitHub annonce une expérience 2FA améliorée pour les comptes npm

Microsoft corrige le nouveau relais NTLM zero-day dans toutes les versions de Windows

Microsoft May 2022 Patch Tuesday corrige 3 zero-days et 75 failles

Le gouvernement britannique publie un outil gratuit pour vérifier les risques de cybersécurité des e-mails

D’anciens chercheurs d’Apple lancent une startup axée sur la protection des appareils iOS

Application de remise en forme et de bien-être Gentler Streak mise à jour avec prise en charge de plus de langues

Meta dit qu’il faudra des années pour gagner de l’argent grâce à l’IA générative – mais qu’en est-il d’Apple ?

Mettez à niveau votre configuration Mac avec ces produits : Mes favoris

Pratique : les meilleures fonctionnalités iOS pour améliorer votre expérience de voyage [Vidéo]

Apple Card s’associe à Nike pour une remise en argent de 10 %

Raccourci iPhone pour activer/désactiver les services de localisation

Voyant vert clignotant sur votre étui Airpods ? Apprenez à résoudre

Les écouteurs antibruit causent-ils des maux de tête ?