Sistemlerinde eski Java uygulamaları çalıştıran kuruluşlar, ağlarının ‘Elephant Beetle’ veya TG2003 olarak bilinen finansal olarak motive edilmiş bir tehdit grubu tarafından hedef alınmasına ve sızmasına neden olabilir.
Siber güvenlik firması Sygnia’daki Olay Müdahale (IR) ekibi, son iki yılını Elephant Beetle’ı, yeni bir rapora göre grup Latin Amerika’daki finans ve ticaret sektörlerindeki kuruluşları avlarken takip ederek geçirdi. Blog yazısı.
Elephant Beetle, saldırılarında 80’den fazla benzersiz araç ve komut dosyasından oluşan bir cephanelik kullanan sofistike bir tehdit aktörüdür. Daha da kötüsü, grup, hedefin ortamına karışarak ve şüphelenmeyen kuruluşlardan büyük miktarlarda para çalarken tamamen tespit edilmeden saldırılarını uzun süreler boyunca sabırla yürütür.
Elephant Beetle, öncelikle Latin Amerika’daki kuruluşlara odaklanıyor gibi görünse de, bu, diğer bölgelerdeki işletmelerin güvenli olduğu anlamına gelmez. Örneğin, Sygnia’nın IR ekibi, ABD merkezli bir şirketin Latin Amerika operasyonlarının grup tarafından ihlal edildiğini keşfetti, bu da hem bölgesel hem de küresel kuruluşların tetikte olması gerektiği anlamına geliyor.
Elephant Beetle, Sygnia’ya göre Java tabanlı saldırılarda oldukça yetkindir ve çoğu durumda, bir kuruluşun ortamına ilk giriş aracı olarak Linux sistemlerinde çalışan eski Java uygulamalarını hedefler. Aynı zamanda grup, tekliflerini yerine getirmek için kurban makinelere kendi eksiksiz Java web uygulamasını dağıtacak kadar ileri gidiyor, bu makineler aynı zamanda yasal uygulamaları da çalıştırıyor.
Bir aya kadar sürebilen bir saldırının ilk aşamasında Elephant Beetle, güvenliği ihlal edilmiş bir ortamda operasyonel siber yetenekler oluşturmaya odaklanır. Bu süre zarfında grup, bir organizasyonun ağının dijital manzarasını inceler ve arka kapılara kurulum yaparken aynı zamanda araçlarını ortam içinde çalışacak şekilde özelleştirir.
Buradan Elephant Beetle, birkaç ayını kurbanın finansal operasyonlarına odaklanarak ve herhangi bir kusuru tespit etmeye odaklanarak çevresini inceleyerek geçirir. Grup ayrıca meşru mali işlemlerinin teknik sürecini anlamak için kurbanın yazılımını ve altyapısını da gözlemler. Elephant Beetle daha sonra ortamda hileli işlemler yaratır ve çalınan miktarlar açısından önemsiz gibi görünse de zamanla milyonlarca dolara kadar çıkabilir.
Sabırlı olmanın yanı sıra, grup ayrıca herhangi bir hırsızlık faaliyeti keşfedilir ve engellenirse geri çekilmek ve birkaç ay boyunca saklanmak için de hızlıdır. Daha sonra, Elephant Beetle birkaç ay sonra geri döner ve farklı bir sistemi hedefler.
Sygnia grubu izlemeye devam ettikçe muhtemelen Elephant Beetle ve faaliyetleri hakkında daha fazla şey duyacağız. O zamana kadar, sistemlerinde Java uygulamaları çalıştıran kuruluşlar, hedef alınmamak için güvenlik protokollerinin ve yazılımlarının güncel olduğundan emin olmalıdır.
Biz de yuvarladık en iyi antivirüs, en iyi kötü amaçlı yazılım temizleme yazılımı ve en iyi uç nokta koruma yazılımı