Một “nhóm kẻ tấn công dai dẳng” với cáo buộc có quan hệ với Hezbollah đã trang bị lại kho vũ khí phần mềm độc hại của mình bằng phiên bản mới của Trojan truy cập từ xa (RAT) để đột nhập vào các công ty trên toàn thế giới và trích xuất thông tin có giá trị.
Trong một báo cáo mới được công bố bởi nhóm nghiên cứu ClearSky hôm thứ Năm, công ty an ninh mạng Israel cho biết họ đã xác định được ít nhất 250 máy chủ web công khai kể từ đầu năm 2020 đã bị kẻ đe dọa tấn công để thu thập thông tin tình báo và đánh cắp cơ sở dữ liệu của công ty.
Các cuộc xâm nhập được dàn dựng đã tấn công một loạt các công ty ở Mỹ, Anh, Ai Cập, Jordan, Lebanon, Ả Rập Xê Út, Israel và Chính quyền Palestine, với phần lớn nạn nhân là các nhà khai thác viễn thông (Etisalat, Mobily, Vodafone Egypt), các nhà cung cấp dịch vụ internet (SaudiNet, TE Data), và các nhà cung cấp dịch vụ lưu trữ và cơ sở hạ tầng (Secured Servers LLC, iomart).
Được ghi nhận lần đầu vào năm 2015, Tuyết tùng dễ bay hơi (hay Lebanon Cedar) được biết là đã thâm nhập vào một số lượng lớn các mục tiêu bằng cách sử dụng các kỹ thuật tấn công khác nhau, bao gồm cả việc cấy ghép phần mềm độc hại tùy chỉnh có tên mã là Explosive.
Trước đây, Volatile Cedar từng bị nghi ngờ có nguồn gốc từ Lebanon – cụ thể là đơn vị mạng của Hezbollah – liên quan đến một chiến dịch gián điệp mạng vào năm 2015 nhằm vào các nhà cung cấp quân sự, công ty viễn thông, truyền thông và các trường đại học.
Các cuộc tấn công năm 2020 cũng không khác gì. Hoạt động hack được phát hiện bởi các hoạt động khớp ClearSky được quy cho Hezbollah dựa trên sự trùng lặp mã giữa các biến thể 2015 và 2020 của Explosive RAT, được triển khai trên mạng của nạn nhân bằng cách khai thác các lỗ hổng 1 ngày đã biết trong các máy chủ web Oracle và Atlassian chưa được vá.
Sử dụng ba lỗ hổng trong máy chủ (CVE-2019-3396, CVE-2019-11581 và CVE-2012-3152) làm vectơ tấn công để đạt được chỗ đứng ban đầu, những kẻ tấn công sau đó đã tiêm một vỏ web và một Trình duyệt tệp JSP, cả hai đều được sử dụng để di chuyển ngang qua mạng, tìm nạp phần mềm độc hại bổ sung và tải xuống Explosive RAT, đi kèm với các khả năng ghi lại các lần gõ phím, chụp ảnh màn hình và thực hiện các lệnh tùy ý.
Các nhà nghiên cứu lưu ý: “Web shell được sử dụng để thực hiện các hoạt động gián điệp khác nhau trên máy chủ web bị tấn công, bao gồm vị trí tài sản tiềm ẩn cho các cuộc tấn công tiếp theo, cấu hình máy chủ cài đặt tệp và hơn thế nữa”, các nhà nghiên cứu lưu ý, nhưng không phải trước khi nhận được các đặc quyền leo thang để thực hiện các nhiệm vụ và truyền kết quả đến máy chủ lệnh và điều khiển (C2).
Trong 5 năm kể từ khi Explosive RAT lần đầu tiên được nhìn thấy, ClearSky cho biết các tính năng chống gỡ lỗi mới đã được thêm vào thiết bị cấy ghép trong phiên bản mới nhất (V4), với thông tin liên lạc giữa máy bị xâm nhập và máy chủ C2 hiện đã được mã hóa.
Mặc dù không có gì đáng ngạc nhiên đối với những kẻ đe dọa luôn giữ bí mật, nhưng thực tế là Lebanon Cedar đã cố gắng ở ẩn từ năm 2015 mà không thu hút bất kỳ sự chú ý nào, ngụ ý rằng nhóm có thể đã ngừng hoạt động trong một thời gian dài giữa chừng để tránh bị phát hiện.
ClearSky lưu ý rằng việc sử dụng web shell làm công cụ hack chính của nhóm có thể là công cụ dẫn các nhà nghiên cứu đến “ngõ cụt về mặt phân bổ”.
Các nhà nghiên cứu cho biết thêm: “Lebanon Cedar đã chuyển trọng tâm đáng kể. Ban đầu chúng tấn công máy tính như một điểm truy cập ban đầu, sau đó tiến đến mạng của nạn nhân, sau đó tiếp tục phát triển để nhắm mục tiêu vào các máy chủ web công khai, dễ bị tấn công”.
