Elephant Beetle похищает миллионы долларов у организаций по всему миру

[Artifact]

Хакеры внедряют в сеть мошеннические транзакции и похищают небольшие суммы в течение продолжительного периода времени.

Преследующая финансовую выгоду киберпреступная группировка Elephant Beetle («Жук-слон») похищает миллионы долларов у организаций по всему миру с помощью более чем 80 уникальных инструментов и скриптов.
Группировка отличается высокими техническими навыками и большим терпением – тщательно изучает атакуемую среду и финансовые транзакции жертвы в течение нескольких месяцев и только потом переходит к эксплуатации уязвимостей.
Как сообщает ИБ-компания Sygnia, злоумышленники внедряют в сеть мошеннические транзакции и похищают небольшие суммы в течение продолжительного периода времени. В результате им удается незаметно перевести миллионы долларов. Если жертва их «засекла», хакеры на время залегают на дно, а затем снова возвращаются через другую систему.
Как правило, точкой входа для Elephant Beetle являются устаревшие приложения Java на Linux-системах. Группировка предпочитает не покупать или находить уязвимости нулевого дня, а эксплуатировать известные и скорее всего неисправленные уязвимости (CVE-2017-1000486, CVE-2015-7450, CVE-2010-5326).
Поскольку злоумышленникам требуется много времени на изучение среды и транзакций атакуемой организации, их первоначальной целью является обход обнаружения. Для этого они смешивают свой вредоносный трафик с обычным, подделывая пакеты под легитимные, выдавая web-оболочки за шрифты, изображения или источники CSS и JS и пряча полезную нагрузку в WAR-архивах.
Группировка осуществляет боковое перемещение по сети преимущественно через серверы web-приложений и SQL-серверы с помощью Windows API (SMB/WMI) и xp_cmdshell. Кроме того, она использует бэкдоры.
Elephant Beetle использует переменные кода и имена файлов на испанском языке, а большинство IP-адресов C&C-серверов являются мексиканскими. Сетевой сканер на Java был загружен на Virus Total из Аргентины, вероятно, на ранних этапах разработки и тестирования. Поэтому можно предположить, что группировка связана с Латинской Америкой и может иметь отношение или пересекаться с группировкой FIN13 (классификация ИБ-компании Mandiant).