據The Hacker News網站報道，網絡安全研究人員揭秘了一個有組織的金融盜竊團伙，該團伙以交易處理系統為目標，從拉美地區的金融實體中竊取資金長達至少4年。

以色列事件響應公司 Sygnia將該惡意團伙命名為Elephant Beetle(大象甲蟲)，擅長在長期在不被發現的情況下運作，融入目標環境，耐心地研究目標金融系統，在常規活動中進行隱秘的欺詐交易，期間利用不少于80種獨特的工具或腳本來執行攻擊。

Sygnia事件副總裁阿里齊伯斯坦表示，大象甲蟲的獨特作案手法在于他們對目標金融系統和運營有著深入的研究，并不斷尋找技術上注入金融交易的脆弱點，最終實現重大金融盜竊。鑒于這個團伙在受害者的網絡中長期存在，他們經常改變和調整他們的技術和工具，以保持其攻擊的有效性。

阿里齊伯斯坦同樣認為，攻擊活動的成功也在于金融機構網絡中存在的遺留系統所提供的巨大攻擊面，這些系統可以作為入口點，從而使攻擊者能夠在目標網絡中獲得長期的立足點。

在執行攻擊的過程中，如果不慎被發現，他們雖會中止行動，但會在幾個月后再度悄悄回歸，初始訪問是通過利用面向外部的基于 Java 的 Web 服務器(如 WebSphere 和 WebLogic)中未修補的漏洞進行中介，最終部署 Web shell，從而實現遠程代碼執行和橫向移動：

• CVE-2017-1000486(CVSS 分數：9.8)- Primefaces 應用程序表達式語言注入
• CVE-2015-7450(CVSS 分數：9.8)——WebSphere Application Server SOAP 反序列化利用
• CVE-2010-5326(CVSS 分數：10.0)——SAP NetWeaver Invoker Servlet 漏洞利用
• EDB-ID-24963 - SAP NetWeaver ConfigServlet 遠程代碼執行

“此次針對拉美金融實體的攻擊，再次強調了一些做足功課的攻擊者有時會潛伏很長時間。阿里齊伯斯坦說道。“雖然今天很多重點工作都放在避免和預防迫在眉睫的勒索軟件上，但仍有其他一些攻擊者在網絡中悄悄擴散，以獲得長期穩定的經濟收益。“

參考來源：https://thehackernews.com/2022/01/researchers-uncover-hacker-group-behind.html