Novo grupo criminoso fica indetetável nos sistemas durante meses

Investigadores de cibersegurança estão a alertar para um grupo que tem roubado milhões de dólares de organizações financeiras e de comércio ao longo do último ano, invadindo redes através de aplicações de java legacy, onde permanecem, depois, de forma silenciosa, para aprender processos financeiros internos. O grupo, que os investigadores da Sygnia apelidaram de Elephant Beetle, utiliza uma grande coleção de ferramentas personalizadas e de open source nas suas operações, incluindo backdoors de Java, e é bom a camuflar-se com o ambiente da vítima e os fluxos de tráfego de rede para permanecer indetetável durante meses, explicam os investigadores.

"Se durante os seus esforços qualquer atividade fraudulenta for descoberta e bloqueada, então simplesmente esconderam-se por alguns meses apenas para voltar e visar um sistema diferente", dizem os investigadores da Sygnia.

O Elephant Beetle está a incidir, maioritariamente, em alvos na América Latina, mas atingiu, também, ramos locais de empresas internacionais e as suas atividades poderão expandir-se para outras regiões no futuro. Segundo os investigadores, os métodos de infiltração do grupo não são sofisticados, pelo que não utilizam exploits zero-day. Em vez disso, visa aplicações e servidores java legacy e sem patches, em particular, WebSphere e WebLogic, que estão expostos à Internet.

De acordo com Sygnia, o grupo tem utilizado exploits remote code execution (RCE): Primefaces Application Expression Language Injection (CVE-2017-1000486), WebSphere Application Server SOAP Deserialization Exploit (CVE-2015-7450), SAP NetWeaver Invoker Servlet Exploit (CVE-2010-5326) and SAP NetWeaver ConfigServlet Remote Code Execution (EDB-ID-24963).

Assim que obtêm acesso aos servidores, os atacantes implementam um web Shell script através do qual podem executar vários comandos no servidor. O grupo tem utilizado web shells personalizadas e off-the-shelf, incluindo JspSpy, reGeorge, MiniWebCmdShell e Vonloesch Jsp File Browser. Estas web shells são implantadas nas pastas de recursos das aplicações existentes e imitam os nomes dos ficheiros de recursos existentes, tais como CSS, imagens, fontes e scripts JavaScript. 

O grupo também tenta aceder a interfaces de gestão web como myWebMethods (WMS) e QLogic utilizando credenciais padrão. Assim que ganham acesso ao servidor através de uma web shell, começarão a procurar dentro de scripts e ficheiros de configuração para obter credenciais armazenadas adicionais. Obtendo credenciais adicionais para as ferramentas de gestão do servidor, os atacantes usam-nas para implementar a sua própria aplicação Java sob a forma de um arquivo WAR ou colocá-la dentro de pastas de implementação automática. 

Por outro lado, os investigadores observaram outra técnica – a injeção de código backdoor malicioso em páginas web padrão, tais como iisstart.aspx ou default.aspx em servidores IIS. O acesso a estas páginas geralmente não é bloqueado ou restringido pelas regras de firewall da Web e podem ser acedidos a partir da Internet. Os atacantes do Elephant Beetle também descarregam o source code das aplicações presentes no servidor, para encontrar potenciais vulnerabilidades.

"O grupo criminoso move-se lateralmente dentro da rede, principalmente através de servidores de aplicações web e servidores SQL, aproveitando técnicas conhecidas como API do Windows (SMB/WMI) e 'xp_cmdshell', combinadas com backdoors remote code execution personalizadas e voláteis", dizem os investigadores. No total, o Elephant Beetle foi visto a utilizar mais de 80 ferramentas e scripts diferentes durante as suas operações.