Les pirates du Hezbollah attaquent les serveurs Atlassian non corrigés chez les opérateurs de télécommunications et les FAI

  • Principal
  • Nouvelles
  • Les pirates du Hezbollah attaquent les serveurs Atlassian non corrigés chez les opérateurs de télécommunications et les FAI

Volatile Cedar, un groupe de hackers avancé soupçonné d'être lié aux Libanais Unité informatique du Hezbollah , a discrètement ciblé des entreprises du monde entier dans des opérations d'espionnage.

L'auteur de la menace a probablement accédé à plus de 250 serveurs Oracle et Atlassian qui appartiennent principalement à des organisations qui fournissent des communications mobiles et des services Internet.

Également connu sous le nom de Cedar libanais, l'acteur est actif depuis au moins 2012 mais est tombé du radar des enquêteurs en 2015. Ses opérations ont refait surface au début de 2020 avec ce que les chercheurs en sécurité appellent la campagne mondiale BeardStache, qui s'est peut-être engagée auprès de centaines d'entreprises.

Reconnaissance et exploitation

dans un rapport Aujourd'hui, la société de cybersécurité ClearSky affirme que le cèdre libanais semble se concentrer sur la collecte de renseignements et le vol de bases de données d'entreprise contenant des informations sensibles, telles que les enregistrements d'appels des clients et les données privées dans le cas des entreprises de télécommunications.

Selon les chercheurs, l'acteur de la menace effectue des efforts de reconnaissance pour sélectionner ses victimes et s'appuie sur des outils publics pour les retrouver. Ils utilisent les outils URI Brute Force (GoBuster et DirBuster) pour rechercher des répertoires ouverts qui pourraient permettre une injection de shell Web.

Le cèdre libanais recherche des serveurs Atlassian Confluence, Atlassian Jira et Oracle Fusion Middleware non corrigés. Les vulnérabilités exploitées sont CVE-2019-3396, CVE-2019-11581 et CVE-2012-3152 .

La géographie du dernier groupe de victimes s'étend du Moyen-Orient aux Amériques et à l'Europe, qui comprend les États-Unis, le Royaume-Uni, l'Égypte, l'Arabie saoudite, la Jordanie, les Émirats arabes unis et l'Autorité nationale palestinienne.

faire profil bas

ClearSky dit que le groupe est peut-être actif depuis cinq ans, mais ses opérations sont passées sous silence en raison de l'adoption de nouvelles tactiques, techniques et procédures.

Selon la société de sécurité, Lebanon Cedar a réussi à faire profil bas :

  • utiliser des utilitaires de shell Web courants comme principal outil de piratage et s'appuyer rarement sur d'autres outils, ce qui rend l'attribution difficile
  • déplacer le point d'accès initial des ordinateurs vers le réseau de la victime et ensuite vers des serveurs vulnérables exposés à l'Internet public
  • Les opérations sont si séparées que les chercheurs qui les surveillent ont reporté leur attention sur d'autres menaces plus récentes.

Les enquêteurs ont commencé à enquêter après avoir découvert une activité réseau suspecte et des outils de piratage sur les systèmes de diverses entreprises. Un examen plus approfondi a révélé une nouvelle version d'Explosive RAT : un outil d'accès à distance connecté à Volatile Cedar - et le shell Web 'Caterpillar'.

'Caterpillar WebShell' a été trouvé sur la plupart des victimes sur lesquelles nous avons enquêté, nous avons également trouvé des traces de RAT 'Explosive' sur de nombreux systèmes. Nous avons identifié la spécification open source Navigateur de fichiers JSP qui a été modifié à des fins de piratage. Nous avons découvert que le cèdre libanais a déployé la charge utile RAT sur le réseau de la victime. Le cèdre libanais est le seul acteur de menace connu à utiliser ce code '- ciel clair

Au cours des efforts de réponse aux incidents, la société a trouvé deux fichiers JSP sur les serveurs des victimes, ajoutés à différentes dates entre janvier 2019 et août 2020. Les fichiers ont été installés simultanément sur plusieurs ports redirigeant vers un serveur Oracle.

ClearSky avertit que les serveurs Oracle auxquels le Cedar libanais accède sont toujours des cibles ouvertes et faciles pour d'autres pirates qui cherchent à attaquer plusieurs réseaux de fournisseurs de télécommunications ou à accéder aux fichiers disponibles.

Les chercheurs affirment que Lebanon Cedar combine des outils open source avec des outils personnalisés. Son ensemble d'outils actuel comprend un shell Web complet, un RAT personnalisé et des 'outils complémentaires soigneusement sélectionnés, y compris des outils de force brute URI'.

ClearSky décrit le Cedar libanais comme un acteur capable de développer ses propres outils et d'orchestrer des 'attaques sophistiquées et bien conçues' sans attirer l'attention sur ses opérations. La sélection intelligente d'outils, de tactiques et de vecteurs d'attaque leur permet de passer inaperçus.

L'entreprise rapport fournit des détails techniques complets sur les attaques étudiées et des indicateurs de compromission, y compris certains des serveurs d'origine utilisés par les pirates.

Qu'est-ce que tu penses?