🔥Adquiere tu membresía:  acceso a todos los cursos, videos eliminados, contenidos protegidos, manuales y más. >> Ver Más

Hackers de Hezbolá están atacando servidores en todo el mundo

Volatile Cedar, un grupo de ciberdelincuentes avanzados que se cree que está conectado con la Unidad Cibernética de Hezbolá libanesa está muy activo. El grupo ha estado atacando silenciosamente a empresas de todo el mundo en operaciones de espionaje.

El actor de amenazas probablemente accedió a más de 250 servidores Oracle y Atlassian. Estos servidores pertenecen principalmente a organizaciones que brindan comunicaciones móviles y servicios basados ​​en Internet.

También conocido como Lebanese Cedar, el actor ha estado activo desde al menos 2012, pero salió del radar de los investigadores en 2015. Sus operaciones resurgieron a principios de 2020 con lo que los investigadores de seguridad llaman la campaña global BeardStache. Esta campaña puede haber comprometido a cientos de empresas.

Reconocimiento y explotación

En un informe de hoy, la empresa de ciberseguridad ClearSky dice que Lebanese Cedar parece centrarse en recopilar inteligencia. También están robando bases de datos de empresas con información confidencial. Por ejemplo, registros de llamadas de clientes y datos privados en el caso de las empresas de telecomunicaciones.

Según los investigadores, el actor de amenazas realiza esfuerzos de reconocimiento para seleccionar a sus víctimas y se basa en herramientas públicas para encontrarlas. Usan herramientas herramientas de fuerza bruta URI (GoBuster y DirBuster) para buscar directorios abiertos que puedan permitir una inyección de shell web.

Lebanese Cedar busca servidores Atlassian Confluence, Atlassian Jira y Oracle Fusion Middleware sin parches. Las vulnerabilidades explotadas son CVE-2019-3396, C VE-2019-11581 y CVE-2012-3152.

La geografía del último grupo de víctimas varía desde Oriente Medio hasta América y Europa. Y, comprende Estados Unidos, Reino Unido, Egipto, Arabia Saudita, Jordania, Emiratos Árabes Unidos y la Autoridad Nacional Palestina.

Manteniendo un perfil bajo

ClearSky dice que el grupo pudo haber estado activo durante los últimos cinco años. No obstante, sus operaciones pasaron desapercibidas debido a la adopción de nuevas tácticas, técnicas y procedimientos.

Según la firma de seguridad, Lebanese Cedar pudo mantener un perfil bajo al:

  • utilizar herramientas de shell web comunes como la principal herramienta de hacking y rara vez se basa en otras herramientas, lo que dificulta la atribución
  • cambiar el punto inicial de acceso de las computadoras a la red de la víctima y luego a los servidores vulnerables expuestos a Interne público
  • Mantener las operaciones tan separadas que los investigadores que las monitorean cambiaron su enfoque hacia otras amenazas más recientes.

Los expertos comenzaron a investigar después de encontrar actividades de red sospechosas y herramientas de hacking en los sistemas de varias empresas. Una mirada más cercana reveló una nueva versión de Explosive RAT, una herramienta de acceso remoto vinculada a Volatile Cedar, y la shell web “Caterpillar”.

“Se encontró ‘Caterpillar WebShell’ en la mayoría de las víctimas que investigamos, en muchos de los sistemas también encontramos rastros de RAT “Explosive” RAT”. Identificamos el navegador de archivos JSP de código abierto específico que se modificó para los propósitos de los hackers. Descubrimos que Lebanese Cedar desplegó el payload de Explosive RAT en la red de las víctimas. Lebanese Cedar es el único actor de amenazas conocido que utiliza este código”

ClearSky

Ataques

Durante los compromisos de respuesta a incidentes, la compañía encontró dos archivos JSP en los servidores de las víctimas. Estos fueron agregados en varias fechas entre enero de 2019 y agosto de 2020. Los archivos se habían instalado al mismo tiempo en varios puertos que redirigen a un servidor Oracle.

ClearSky advierte que los servidores Oracle a los que accede Lebanese Cedar todavía están abiertos. Estos siguen siendo objetivos fáciles para otros hackers que buscan atacar las redes de múltiples proveedores de telecomunicaciones u obtener acceso a los archivos disponibles.

Los investigadores dicen que Lebanese Cedar combina herramientas de código abierto con herramientas personalizadas. El conjunto de herramientas actual incluye una shell web completa, un RAT personalizado y “herramientas complementarias cuidadosamente seleccionadas, incluidas herramientas de fuerza bruta URI“.

ClearSky describe a Lebanese Cedar como un actor que tiene la capacidad de desarrollar sus herramientas y orquestar “ataques sofisticados y bien diseñados” sin llamar la atención sobre sus operaciones. La inteligente selección de herramientas, tácticas y vectores de ataque les permite pasar desapercibidos.

El informe de la compañía proporciona detalles técnicos completos sobre los ataques investigados e indicadores de compromiso. Estos incluyen algunos de los servidores originales utilizados por los ciberdelincuentes.

Deja un comentario

Adquiere tu Membresía Anual Wiser

Adquiere tu Membresía Anual Wiser y adquiere grandes beneficios

Más información