REF0657 támadási módszerei
Az Elastic Security Labs részletesen beszámol egy behatolásról, amely nyílt forráskódú eszközöket és különböző, a kihasználást követő technikákat használt fel, és a dél-ázsiai pénzügyi szolgáltatási ágazatot célozta meg.
2023 decemberében az Elastic Security Labs egy dél-ázsiai pénzügyi szolgáltató szervezet ellen irányuló, smash-and-grab stílusú behatolást észlelt. A betörés során az áldozat környezetében nyílt forráskódú eszközök változatos készletét alkalmazták, amelyek közül némelyikkel először találkoztak a kutatók. A fenyegető csoport a behatolás után különböző tevékenységeket folytatott: a felderítéstől kezdve az áldozat belső vállalati szoftverének felhasználásán át az áldozat ellen, végül pedig különböző tunel és oldalletöltési technikákat használt fel a Cobalt Strike végrehajtásához. Ezenkívül az ellenfél a Mega szolgáltatást is felhasználta a hálózatból történő adatszivárgáshoz.
A behatolási sorozat (REF0657) részleteinek és a különböző taktikák, technikák és eljárások (TTP-k) nyilvánosságra hozatalával reméljük, hogy segíthetünk a védekező kollégáknak és szervezeteknek az ilyen típusú tevékenységek felismerésében és nyomon követésében.
A REF0657 a dél-ázsiai pénzügyi szolgáltatásokat vette célba. A csoport a hozzáférés utáni viselkedésmódok széles skáláját használta ki, köztük a Microsoft SQL Server használatával történő hátsó ajtós hozzáférést, a hitelesítő adatok kidobását, az eseménynaplók törlését és a MEGA CMD használatával történő adatszivárgást.