साइबर सुरक्षा शोधकर्ताओं ने कम से कम चार वर्षों के लिए मुख्य रूप से लैटिन अमेरिका में स्थित संस्थाओं से लेन-देन प्रसंस्करण प्रणालियों और साइफन फंड को लक्षित करने के लिए एक विचारशील अभिनेता द्वारा किए गए एक संगठित वित्तीय-चोरी के संचालन का पर्दाफाश किया है।

दुर्भावनापूर्ण हैकिंग समूह को कोडनेम दिया गया है हाथी भृंग इजरायली घटना प्रतिक्रिया फर्म सिगनिया द्वारा, लक्ष्य की वित्तीय संरचनाओं के व्यापक अध्ययन के बाद रडार के नीचे फिसलने के लिए सौम्य गतिविधि के बीच धोखाधड़ी लेनदेन को इंजेक्ट करके बैंकों और खुदरा कंपनियों के उद्देश्य से घुसपैठ के साथ।

शोधकर्ताओं ने एक में कहा, “हमला अपनी सरल सादगी में अथक है, जो बिना किसी शोषण के, सादे दृष्टि में छिपने के लिए एक आदर्श रणनीति के रूप में कार्य करता है,” शोधकर्ताओं ने कहा। रिपोर्ट good द हैकर न्यूज के साथ साझा किया गया, मैंडिएंट द्वारा ट्रैक किए गए दूसरे के साथ समूह के ओवरलैप्स को कॉल करते हुए फिन13, मेक्सिको में डेटा चोरी और रैंसमवेयर हमलों से जुड़ा एक “मेहनती” खतरा अभिनेता 2016 की शुरुआत में वापस आ गया।

स्वचालित GitHub बैकअप

कहा जाता है कि हाथी बीटल अपने हमलों को अंजाम देने के लिए कम से कम 80 अद्वितीय उपकरणों और लिपियों के एक शस्त्रागार का लाभ उठाता है, साथ ही साथ अपने उद्देश्यों को प्राप्त करने के लिए लंबे समय तक पीड़ित के पर्यावरण के साथ मिश्रण करने के लिए कदम उठाता है।

घटना के उपाध्यक्ष एरी ज़िल्बरस्टीन ने कहा, “हाथी बीटल से जुड़ी अनूठी कार्यप्रणाली पीड़ितों की वित्तीय प्रणालियों और संचालन के बारे में उनका गहन शोध और ज्ञान है और तकनीकी रूप से वित्तीय लेनदेन को इंजेक्ट करने के लिए कमजोर तरीकों की लगातार खोज है, जो अंततः बड़ी वित्तीय चोरी की ओर ले जाती है।” सिगनिया में प्रतिक्रिया, द हैकर न्यूज को बताया। “पीड़ितों के नेटवर्क में इस समूह की दृढ़ता की लंबी अवधि को देखते हुए, वे प्रासंगिक बने रहने के लिए अक्सर अपनी तकनीकों और टूलिंग को बदलते और अनुकूलित करते हैं।”

ज़िल्बरस्टीन ने अभियान की सफलता के लिए विरासत प्रणालियों द्वारा प्रदान की गई विशाल हमले की सतह को जिम्मेदार ठहराया जो वित्तीय संस्थानों के नेटवर्क में मौजूद हैं और प्रवेश बिंदुओं के रूप में काम कर सकते हैं, जिससे हमलावरों को लक्ष्य नेटवर्क में स्थायी पैर जमाने में सक्षम बनाया जा सकता है।

विरोधी के तौर-तरीके एक लो-प्रोफाइल पैटर्न का अनुसरण करते हैं, जो पीड़ित के वातावरण का अध्ययन करने के लिए पिछले दरवाजे से रोपण के साथ शुरू होता है, विशेष रूप से वित्तीय लेनदेन को सुविधाजनक बनाने के लिए उपयोग की जाने वाली विभिन्न प्रक्रियाओं को समझने के उद्देश्य से, इसके बाद नेटवर्क में अपने स्वयं के नकली लेनदेन को सम्मिलित करता है जो वृद्धिशील चोरी करता है अलार्म बंद करने से बचने के लिए लक्ष्य से राशि की राशि।

डेटा उल्लंघनों को रोकें

लेकिन अगर अभिनेता की कपटपूर्ण हरकतें सामने आती हैं, तो वे कुछ महीने बाद ही लौटने के लिए अस्थायी रूप से अपना संचालन बंद कर देते हैं। बाहरी-सामना करने वाले जावा-आधारित वेब सर्वर जैसे वेबस्फेयर और वेबलॉजिक में अप्रकाशित खामियों का लाभ उठाकर प्रारंभिक पहुंच को दलाली दी जाती है, जो अंततः वेब शेल की तैनाती की ओर ले जाती है जो रिमोट कोड निष्पादन और पार्श्व आंदोलन को सक्षम करता है –

  • सीवीई-2017-1000486 (सीवीएसएस स्कोर: 9.8) – प्राइमफेस एप्लीकेशन एक्सप्रेशन लैंग्वेज इंजेक्शन
  • सीवीई-2015-7450 (सीवीएसएस स्कोर: 9.8) – वेबस्फीयर एप्लिकेशन सर्वर SOAP डिसेरिएलाइज़ेशन एक्सप्लॉइट
  • सीवीई-2010-5326 (सीवीएसएस स्कोर: 10.0) – एसएपी नेटवीवर इनवोकर सर्वलेट एक्सप्लॉइट
  • ईडीबी-आईडी-24963 – SAP NetWeaver ConfigServlet रिमोट कोड निष्पादन

“यह हमला एक बार फिर जोर देता है कि परिष्कृत हमलावर कभी-कभी नेटवर्क में छिपे होते हैं [a] लंबे समय तक,” ज़िल्बरस्टीन ने कहा। “हालांकि रैंसमवेयर के आसन्न जोखिम से बचने और रोकने के लिए आज बहुत जोर दिया जाता है, कुछ अन्य खतरे वाले अभिनेता अभी भी एक दीर्घकालिक और स्थिर वित्तीय लाभ प्राप्त करने के लिए नेटवर्क में चुपके से खुद को फैलाने के लिए काम कर रहे हैं।”

“संगठनों को इन प्रणालियों पर अतिरिक्त ध्यान देने की आवश्यकता है, विशेष रूप से वे जो बाहरी रूप से सामना कर रहे हैं, और समान प्रकृति के हमलों को रोकने और उनका पता लगाने के लिए पैचिंग और निरंतर शिकार करते हैं,” ज़िल्बरस्टीन ने कहा।

.


Source link

LEAVE A REPLY

Please enter your comment!
Please enter your name here