Elephant Beetle
A Sygnia Incident Response kutatói egy olyan csoportról adtak kii jelentést, ami hónapokat tölt el a megcélzott szervezetek hálózatán és eközben kis tranzakciókkal lopja a pénzt, ami az eddigi ismeretek alapján több millió dollár is lehet.
Az Elephant Beetle nem nulladik napi sérülékenységeket kutat és fejleszt, hanem ismert és még nem javított sérülékenységeket használ ki. Ilyenek lehetnek a tapasztalatok alapján a következők:
- Primefaces Application Expression Language Injection (CVE-2017-1000486)
- WebSphere Application Server SOAP Deserialization Exploit (CVE-2015-7450)
- SAP NetWeaver Invoker Servlet Exploit (CVE-2010-5326)
- SAP NetWeaver ConfigServlet Remote Code Execution (EDB-ID-24963)
Ezek mindegyike lehetővé teszi a távoli kódfuttatást, amit ki is használnak. A leggyakrabban átírják a fájlokat, lecserélik a valós fálokat például a iisstart.aspx vagy default.aspx fájlokat, hogy biztosítsák a hozzáférést a szerverekhez.
A Sygnia Incident Response kutatói megosztották a támadók taktikáit, technikáit és az azonosításhoz szükséges mutatókat (IoC) is.