„Skupina vytrvalých útočníkov“ s údajnými väzbami na Hizballáh prepracovala svoj malvérový arzenál s novou verziou trójskeho koňa so vzdialeným prístupom (RAT), aby prenikla do spoločností po celom svete a získala cenné informácie.
V novej správe, ktorú vo štvrtok zverejnil výskumný tím ClearSky, izraelská spoločnosť zaoberajúca sa kybernetickou bezpečnosťou uviedla, že od začiatku roku 2020 identifikovala najmenej 250 verejne prístupných webových serverov, ktoré boli napadnuté aktérom hrozby s cieľom získať spravodajské informácie a ukradnúť databázy spoločnosti.
Organizované prieniky zasiahli množstvo spoločností so sídlom v USA, Spojenom kráľovstve, Egypte, Jordánsku, Libanone, Saudskej Arábii, Izraeli a Palestínskej samospráve, pričom väčšina obetí zastupovala telekomunikačných operátorov (Etisalat, Mobily, Vodafone Egypt). poskytovatelia internetových služieb (SaudiNet, TE Data) a poskytovatelia hostingových a infraštruktúrnych služieb (Secureed Servers LLC, iomart).
Prchavý céder (alebo libanonský céder), ktorý bol prvýkrát zdokumentovaný v roku 2015, je známy tým, že preniká do veľkého počtu cieľov pomocou rôznych techník útokov, vrátane špeciálne vyrobeného malvérového implantátu s kódovým názvom Explosive.
Prchavý Cedar bol už predtým podozrivý z libanonského pôvodu – konkrétne z kybernetickej jednotky Hizballáhu – v súvislosti s kyberšpionážnou kampaňou v roku 2015, ktorá sa zamerala na vojenských dodávateľov, telekomunikačné spoločnosti, médiá a univerzity.
Útoky v roku 2020 neboli iné. Hackerská aktivita odhalená ClearSky zodpovedala operáciám pripisovaným Hizballáhu na základe prekrývania kódu medzi variantmi Explosive RAT z roku 2015 a 2020, ktorý je nasadený do sietí obetí využívaním známych 1-denné zraniteľnosti v neoplatených webových serveroch Oracle a Atlassian.
Použitím troch nedostatkov na serveroch (CVE-2019-3396, CVE-2019-11581 a CVE-2012-3152) ako vektora útoku na získanie počiatočnej opory, útočníci vložili webový shell a prehliadač súborov JSP, oboje bolo použité na bočný pohyb po sieti, načítanie ďalšieho malvéru a stiahnutie Explosive RAT, ktorý prichádza s možnosťami zaznamenávať stlačenia klávesov, snímať snímky obrazovky a vykonávať ľubovoľné príkazy.
„Webový shell sa používa na vykonávanie rôznych špionážnych operácií nad napadnutým webovým serverom vrátane potenciálneho umiestnenia aktív pre ďalšie útoky, konfigurácie servera na inštaláciu súborov a ďalších,“ poznamenali výskumníci, ale nie skôr, ako získajú eskalované privilégiá na vykonávanie úloh a preniesť výsledky na server príkazov a riadenia (C2).
Počas piatich rokov, odkedy bol Explosive RAT prvýkrát videný, spoločnosť ClearSky uviedla, že do implantátu boli pridané nové funkcie proti ladeniu v jeho najnovšej iterácii (V4), pričom komunikácia medzi napadnutým strojom a serverom C2 je teraz šifrovaná.
Aj keď nie je prekvapujúce, že sa aktéri hrozieb držia v úzadí, skutočnosť, že libanonskému cédru sa podarilo zostať skrytý od roku 2015 bez toho, aby upútala akúkoľvek pozornosť, naznačuje, že skupina mohla medzitým prerušiť činnosť na dlhšie obdobie, aby sa vyhla odhaleniu.
ClearSky poznamenal, že používanie webového shellu ako primárneho nástroja na hackerstvo mohlo byť nápomocné pri vedení výskumníkov do „slepej uličky, pokiaľ ide o pripisovanie“.
“Libanonský céder výrazne posunul svoje zameranie. Spočiatku zaútočili na počítače ako počiatočný bod prístupu, potom postúpili do siete obete a potom pokračovali (sic) k zacieleniu na zraniteľné, verejne prístupné webové servery,” dodali vedci.
