"Elephant Beetle" pasa meses en las redes de víctimas desviando transacciones

Un actor con motivaciones económicas apodado el "Escarabajo elefante" está robando millones de dólares de organizaciones de todo el mundo utilizando un arsenal de más de 80 herramientas y guiones únicos.

El grupo es muy sofisticado y paciente, pasa meses estudiando el entorno de la víctima y los procesos de transacciones financieras, y solo entonces se mueve para explotar las fallas en la operación.

Los actores introducen transacciones fraudulentas en la red y roban pequeñas sumas durante largos períodos, lo que lleva a un robo total de millones de dólares. Si son detectados, se esconden por un tiempo y regresan a través de un sistema diferente.

La experiencia "Elephant Beetle" parece consistir en apuntar a aplicaciones Java heredadas en sistemas Linux, que suelen ser su puerta de entrada a las redes corporativas.

Los TTP del actor se incluyen en un informe técnico detallado que el equipo de respuesta a incidentes de Sygnia compartió con Bleeping Computer antes de su publicación.

Índice de contenidos
  1. Aprovecha las fallas y mézclate con el tráfico normal.
  2. Muévete hacia los lados a través de puertas traseras personalizadas
  3. Consejos para la atribución y la defensa

Aprovecha las fallas y mézclate con el tráfico normal.

"Elephant Beetle" prefiere apuntar a vulnerabilidades conocidas y posiblemente no reparadas en lugar de comprar o desarrollar exploits de día cero.

Los investigadores de Sygnia han observado al grupo durante dos años y pueden confirmar que los actores de amenazas aprovechan las siguientes fallas:

  • Inyección de lenguaje de expresión de la aplicación Primefaces (CVE-2017-1000486)
  • Explotación de deserialización de SOAP de WebSphere Application Server (CVE-2015-7450)
  • Servlet de explotación de SAP NetWeaver Invoker (CVE-2010-5326)
  • Ejecución remota de código SAP NetWeaver ConfigServlet (EDB-ID-24963)

Los cuatro defectos anteriores permiten a los actores ejecutar código arbitrario de forma remota a través de un shell web especialmente diseñado y ofuscado.

Un ejemplo de explotación de SAP
Un ejemplo de explotación de SAP
Fuente: Sygnia

Los actores deben realizar una vigilancia e investigación a largo plazo, por lo que el próximo objetivo principal es pasar desapercibidos durante varios meses.

Para lograr esto, intentan mezclarse con el tráfico normal imitando paquetes legítimos, enmascarando shells web como fuentes, imágenes o recursos CSS y JS, y usando archivos WAR para comprimir cargas útiles.

Webshells ocultos en carpetas de recursos
Webshells ocultos en carpetas de recursos
Fuente: Sygnia

"Los ladrones de Elephant Beetle también intentarán sobrescribir literalmente los archivos no amenazantes mientras se preparan lentamente para el ataque real", explica el informe de Sygnia.

"Otra técnica utilizada por el creador de amenazas fue modificar o reemplazar completamente los archivos de la página web predeterminada, es decir, el reemplazo de iisstart.aspx o default.aspx en los servidores web IIS".

"El uso de esta técnica permitió al grupo de amenazas dos cosas. Primero, tienen acceso casi garantizado a su shell web desde otros servidores o desde Internet, porque las rutas para esto a menudo están permitidas de manera predeterminada".

Muévete hacia los lados a través de puertas traseras personalizadas

Una vez que el primer servidor web se ve comprometido, el creador de amenazas utiliza un escáner Java personalizado que recupera una lista de direcciones IP para un puerto o interfaz HTTP específico.

Esta herramienta es muy versátil y configurable, y Sygnia informa haberla visto ampliamente utilizada en las operaciones observadas de "Elephant Beetle".

Una vez identificados los posibles puntos de pivote del servidor interno, los actores utilizan credenciales comprometidas o fallas de RCE para propagarse lateralmente a otros dispositivos de la red.

Movimiento lateral del escarabajo elefante
Movimiento lateral del escarabajo elefante
Fuente: Sygnia

"El grupo de amenazas se mueve lateralmente a través de la red principalmente a través de servidores de aplicaciones web y servidores SQL, aprovechando técnicas conocidas como API de Windows (SMB / WMI) y 'xp_cmdshell', combinadas con puertas traseras volátiles de ejecución remota personalizada". - Signa.

El grupo utiliza dos puertas traseras de una sola fila que facilitan el movimiento lateral; un PowerShell codificado en Base64 y una puerta trasera Perl de conexión posterior.

La puerta trasera de Perl utilizada por los actores.
La puerta trasera de Perl utilizada por los actores.
Fuente: Sygnia

La primera puerta trasera simula un servidor web y asocia un canal de ejecución de código remoto a los puertos de destino, mientras que la segunda ejecuta un shell interactivo para la comunicación C2 (recepción y salida de comandos).

En algunos casos raros, los piratas informáticos utilizaron una tercera puerta trasera para ejecutar shellcode en el host a través de un túnel cifrado creado con un conjunto de certificados codificados.

Consejos para la atribución y la defensa

"Elephant Beetle" utiliza variables de código y nombres de archivo en español, y la mayoría de las direcciones IP C2 que utilizan tienen su sede en México.

Además, el escáner de red escrito en Java se cargó en Virus Total desde Argentina, probablemente durante la fase inicial de desarrollo y prueba.

Como tal, el grupo parece estar relacionado con América Latina y puede tener una relación o superposición con el actor FIN13, seguido de Mandiant.

Algunos consejos básicos para defenderse de este actor incluyen:

  • Evite utilizar el procedimiento 'xp_cmdshell' y desactívelo en servidores MS-SQL. Supervise los cambios de configuración y el uso de 'xp_cmdshell'.
  • Supervise las implementaciones de WAR y verifique que la funcionalidad de implementación de paquetes esté incluida en la política de registro de aplicaciones correspondiente.
  • Busque y supervise la presencia y creación de archivos .class sospechosos en las carpetas temporales de las aplicaciones WebSphere.
  • Supervisa los procesos que han sido ejecutados por los procesos de los servicios centrales del servidor web (por ejemplo, "w3wp.exe", "tomcat6.exe") o por procesos relacionados con la base de datos (por ejemplo, "sqlservr.exe").
  • Implementar y verificar la segregación entre DMZ y servidores internos.

Por último, asegúrese de obtener los Indicadores de compromiso (IoC) del informe de Sygnia que le ayudarán a cazar de forma proactiva el "Escarabajo elefante".

Teniendo en cuenta que este actor está explotando vulnerabilidades antiguas y sin parches para el compromiso inicial, es vital mantener todas sus aplicaciones actualizadas con los últimos parches de seguridad.

Descubre más contenido

Subir Change privacy settings