Elephant Beetle:組織化された金融窃取の背後にあるハッカー・グループとは?

Researchers Uncover Hacker Group Behind Organized Financial-Theft Operation

2022/01/05 TheHackerNews — サイバー・セキュリティの研究者たちは、少なくとも4年間にわたって、主にラテンアメリカに所在するエンティティからのトランザクション処理とサイフォン資金を標的にする、慎重な脅威アクターにより実行される組織的な金融窃取作戦を暴いた。イスラエルのインシデント・レスポンス企業である Sygnia は、Elephant Beetle と名付けた悪質なハッキング・グループが、銀行や小売店を標的に、良心的な活動に紛れて不正な取引を注入していたと発表した。

研究者たちは、「この攻撃は執拗であり、エクスプロイトを開発することなしに、プレーンな視界に隠れるための理想的な戦術として機能する、独創的で単純な形態を持つ」と、The Hacker News と共有されたレポートで述べている。このグループは、Mandiant が追跡する FIN13 と呼ばれるグループに重複する。FIN13 は、メキシコでのデータ盗難とランサムウェア攻撃に関連する、勤勉な脅威アクター・グループであり、その活動は 2016年に遡る。

Elephant Beetle は、80種類以上の独自のツールやスクリプトを駆使し、長期間にわたって被害者の環境に紛れ込むことで、目的を達成していると言われている。Sygnia の VP of Incident Response である Arie Zilberstein は、「Elephant Beetle のユニークな手口は、被害者の金融システムや業務を深く調査/把握し、金融取引を技術的に注入する脆弱な部分を執拗に探し出す点にある」と述べている。

Zilberstein は、このキャンペーンが成功した理由として、金融機関のネットワークに存在するレガシーシステムが提供する、広大な攻撃領域がエントリーポイントとなり、それにより攻撃者が永続的な足場を得ている点にあると述べている。攻撃者の手口は、バックドアを仕込んで被害者の環境を調査し、金融取引を円滑に行うための様々なプロセスを理解し、不正な取引をネットワークに挿入し、警告を出さないように少額の資金を盗むという、目立たないパターンをとる。

そして、脅威アクターの不正行為が明るみに出ると、一時的に活動を停止し、数ヵ月後に再び活動を開始する。最初のアクセスは、外部へ向けられた WebSphere や WebLogic などの、Java ベース Web サーバーの未パッチの脆弱性を突いて行われ、最終的にはリモートコード実行や横方向への移動を可能にするために、Web シェルの展開へとつなげていく。

  • CVE-2017-1000486 (CVSS : 9.8) – Primefaces アプリケーション言語インジェクション
  • CVE-2015-7450(CVSS : 9.8) – WebSphere Application Server SOAP デシリアライズの悪用
  • CVE-2010-5326(CVSS : 10.0) – SAP NetWeaver Invoker サーブレットの脆弱性
  • EDB-ID-24963 – SAP NetWeaver ConfigServlet のリモートコード実行

    Zilberstein は、「今回の攻撃により、洗練された攻撃者が、ネットワークに長く潜んでいることが改めて強調された。ランサムウェアの差し迫ったリスクを回避/防止することが重視されているが、他の脅威アクターの中には、長期的かつ安定した金銭的利益を得るために、ネットワーク内で密かに増殖する活動を行っているものもある。ユーザー組織は、特に外部に面しているシステムに特別な注意を払い、同様の性質を持つ攻撃を防止/検出するための、パッチ適用と継続的なハンティングを行う必要がある」 と付け加えている。

目立たないように偽の取引を注入して、不正送金を行わせるという、巧妙な手口の犯罪者グループのようですね。しかも、80種類以上の独自のツールやスクリプトを駆使し、フィッシングのようなことも行わず、じっと潜伏しながらチャンスを待つという手法は、検知/防御することも、とても難しいと思います。この Elephant Beetle は、なかなかの難敵ですね。

%d bloggers like this: