Cybergang Elephant Bettle roba pacientemente millones de dólares

Algunos lo verán como un truco anticuado, en el que los ciberdelincuentes se tomaron su tiempo lejos del ajetreo y la velocidad de los ataques de ransomware. El Equipo de Respuesta a Incidentes de Sygnia rastreó a un grupo denominado Elephant Bettle o TG2003 durante dos años. Extrajo millones de dólares de compañías en las industrias financiera y minorista, pasó meses estudiando pacientemente los sistemas financieros de sus objetivos y deslizando transacciones fraudulentas en la actividad regular. Para evitar la detección, el grupo con el tiempo generó pequeñas transacciones fraudulentas que eran difíciles de detectar.

A diferencia de otros grupos, Elephant Bettle no tiene grandes logros. Sin embargo, se basa en un arsenal de más de 80 herramientas y scripts únicos para pasar desapercibido durante largos períodos de tiempo e instalar pacientemente sus transacciones falsas, dicen los investigadores. También señalan que la pandilla centra principalmente su atención en el mercado latinoamericano, pero no escatima en otras empresas del mundo.

Especialistas en Java y una combinación de vulnerabilidades conocidas

En su investigación, los expertos de Sygnia descubrieron que Elephant Bettle es particularmente competente en ataques basados ​​en Java y, a menudo, se dirige a aplicaciones Java existentes que se ejecutan en máquinas Linux, principalmente servidores web como WebSphere y WebLogic. Estas son las puertas de entrada al entorno de TI de la víctima, Elephant Bettle puede implementar su propia aplicación web Java para ejecutar órdenes de pandillas en máquinas comprometidas.

En la bolsa de los hackers se utilizan varias vulnerabilidades conocidas. Los investigadores citan 4 en particular:

-Inyección del lenguaje de expresión de aplicaciones Primefaces (CVE-2017-1000486).

- Explotación de la deserialización SOAP de WebSphere Application Server (CVE-2015-7450).

-Explotación del servlet Invoker de SAP NetWeaver (CVE-2010-5326).

-Ejecución remota de código del SAP NetWeaver ConfigServlet (EDB-ID-24963).

Todas estas fallas permiten a los ciberdelincuentes ejecutar código arbitrario de forma remota a través de un shell web oculto y especialmente diseñado. El equipo de Sygnia dio el ejemplo de una solicitud web enviada por el grupo de amenazas a uno de los portales SAP de la víctima. Aprovecha el problema de ejecución remota de código de SAP ConfigServlet y contiene un comando de una línea que crea un shell web. Este último se puede colocar en la carpeta de recursos de la aplicación web o disfrazarse como una fuente, imagen o elemento CSS o JS para evitar ser visto.