Peneliti Mengungkap Kelompok Peretas di Balik Operasi Pencurian Keuangan Terorganisir

  • Whatsapp
Peneliti Mengungkap Kelompok Peretas di Balik Operasi Pencurian Keuangan Terorganisir

News.nextcloud.asia –

Peneliti keamanan siber telah mengungkap operasi pencurian keuangan terorganisir yang dilakukan oleh aktor rahasia untuk menargetkan sistem pemrosesan transaksi dan menyedot dana dari entitas yang terutama berlokasi di Amerika Latin selama setidaknya empat tahun.

Grup peretasan berbahaya telah diberi nama kode Kumbang Gajah oleh perusahaan respons insiden Israel Sygnia, dengan intrusi yang ditujukan ke bank dan perusahaan ritel dengan menyuntikkan transaksi penipuan di antara aktivitas jinak untuk menyelinap di bawah radar setelah studi ekstensif terhadap struktur keuangan target.

“Serangan itu tanpa henti dalam kesederhanaannya yang cerdik yang berfungsi sebagai taktik ideal untuk bersembunyi di depan mata, tanpa perlu mengembangkan eksploitasi,” kata para peneliti dalam sebuah laporan dibagikan dengan The Hacker News, menyebut tumpang tindih grup dengan yang lain yang dilacak oleh Mandiant sebagai FIN13, seorang aktor ancaman “rajin” yang terkait dengan pencurian data dan serangan ransomware di Meksiko sejak awal 2016.

Pencadangan GitHub Otomatis

Elephant Beetle dikatakan memanfaatkan gudang tidak kurang dari 80 alat dan skrip unik untuk mengeksekusi serangannya, sambil secara bersamaan mengambil langkah untuk berbaur dengan lingkungan korban dalam waktu lama untuk mencapai tujuannya.

“Modus operandi unik yang terkait dengan Elephant Beetle adalah penelitian mendalam dan pengetahuan mereka tentang sistem dan operasi keuangan korban dan pencarian mereka yang gigih untuk metode rentan untuk menyuntikkan transaksi keuangan secara teknis, yang pada akhirnya mengarah pada pencurian keuangan besar,” Arie Zilberstein, wakil presiden insiden tanggapan di Sygnia, mengatakan kepada The Hacker News. “Mengingat periode kegigihan yang lama yang dimiliki kelompok ini dalam jaringan korban, mereka sering mengubah dan mengadaptasi teknik dan peralatan mereka agar tetap relevan.”

Kumbang Gajah

Zilberstein mengaitkan keberhasilan kampanye dengan permukaan serangan luas yang disediakan oleh sistem warisan yang ada di jaringan lembaga keuangan dan dapat berfungsi sebagai titik masuk, sehingga memungkinkan penyerang untuk mendapatkan pijakan permanen ke jaringan target.

Modus operandi musuh mengikuti pola low-profile yang dimulai dengan menanam backdoors untuk mempelajari lingkungan korban, khususnya dengan tujuan untuk memahami berbagai proses yang digunakan untuk memfasilitasi transaksi keuangan, diikuti dengan memasukkan transaksi jahatnya sendiri ke dalam jaringan yang mencuri inkremental. sejumlah uang dari target untuk menghindari alarm.

Mencegah Pelanggaran Data

Tetapi jika tindakan penipuan aktor tersebut terungkap, mereka untuk sementara menghentikan operasi mereka hanya untuk kembali beberapa bulan kemudian. Akses awal diperantarai dengan memanfaatkan kelemahan yang belum ditambal di server web berbasis Java yang menghadap eksternal seperti WebSphere dan WebLogic, yang pada akhirnya mengarah pada penyebaran cangkang web yang memungkinkan eksekusi kode jarak jauh dan pergerakan lateral —

  • CVE-2017-100486 (Skor CVSS: 9,8) – Injeksi Bahasa Ekspresi Aplikasi Primefaces
  • CVE-2015-7450 (Skor CVSS: 9,8) – Eksploitasi Deserialisasi SOAP Server Aplikasi WebSphere
  • CVE-2010-5326 (Skor CVSS: 10.0) – Eksploitasi Servlet Invoker SAP NetWeaver
  • EDB-ID-24963 – Eksekusi Kode Jarak Jauh SAP NetWeaver ConfigServlet

“Serangan ini menekankan sekali lagi bahwa penyerang canggih terkadang mengintai di jaringan untuk [a] lama,” kata Zilberstein. “Sementara banyak penekanan diberikan hari ini untuk menghindari dan mencegah risiko ransomware, beberapa pelaku ancaman lain masih beroperasi untuk secara diam-diam berkembang biak dalam jaringan untuk mendapatkan keuntungan finansial jangka panjang dan stabil.”

“Organisasi perlu memberikan perhatian ekstra pada sistem ini, terutama yang menghadap ke luar, dan melakukan patching dan perburuan terus menerus untuk mencegah dan mendeteksi serangan yang serupa,” tambah Zilberstein.

.

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan.