Hacker-Gruppe der Hisbollah zielt auf Telekommunikation, Hosting, ISPs weltweit

  • Eine “hartnäckige Angreifergruppe” mit angeblichen Verbindungen zur Hisbollah hat ihr Malware-Arsenal mit einer neuen Version eines Remote-Access-Trojaners (RAT) aufgerüstet, um weltweit in Unternehmen einzubrechen und wertvolle Informationen zu extrahieren.

    In einem neuen Bericht, der am Donnerstag vom ClearSky-Forschungsteam veröffentlicht wurde, sagte das israelische Cybersecurity-Unternehmen, dass es seit Anfang 2020 mindestens 250 öffentlich zugängliche Webserver identifiziert hat, die von dem Bedrohungsakteur gehackt wurden, um Informationen zu sammeln und die Datenbanken des Unternehmens zu stehlen.

    Die orchestrierten Eindringlinge trafen eine Reihe von Unternehmen in den USA, Großbritannien, Ägypten, Jordanien, Libanon, Saudi-Arabien, Israel und der Palästinensischen Autonomiebehörde, wobei die Mehrheit der Opfer Telekom-Betreiber (Etisalat, Mobily, Vodafone Ägypten), Internet-Service-Provider (SaudiNet, TE Data) und Hosting- und Infrastruktur-Service-Provider (Secured Servers LLC, iomart) waren.

    [Blocked Image: https://thehackernews.com/images/-Ql20Im9cD4w/YArTIfc-0yI/AAAAAAAA3iE/cxUBgG0eaUkSAx-yYkmOvaA-bPT90lRGwCLcBGAsYHQ/s728-e100/week-password-728.jpg]

    Volatile Cedar (oder Lebanese Cedar) wurde erstmals 2015 dokumentiert und ist dafür bekannt, mit verschiedenen Angriffstechniken in eine große Anzahl von Zielen einzudringen, darunter auch ein speziell entwickeltes Malware-Implantat mit dem Codenamen Explosive.

    Volatile Cedar wurde zuvor libanesischer Herkunft verdächtigt – insbesondere der Cyber-Einheit der Hisbollah – im Zusammenhang mit einer Cyberspionage-Kampagne im Jahr 2015, die auf Militärlieferanten, Telekommunikationsunternehmen, Medien und Universitäten abzielte.

    [Blocked Image: https://thehackernews.com/images/-L8NN8JhrkE4/YBPdcfzh7XI/AAAAAAAABok/0D6IZ520nfY8Lodn8vI63B7MdoqFlxLyQCLcBGAsYHQ/s728-e1000/cyber-attack.jpg]

    Die 2020-Angriffe waren nicht anders. Die von ClearSky aufgedeckten Hacking-Aktivitäten stimmten mit Operationen überein, die der Hisbollah zugeschrieben werden, und zwar aufgrund von Code-Überschneidungen zwischen den Varianten 2015 und 2020 des Explosive RAT, der in den Netzwerken der Opfer eingesetzt wird, indem er bekannte 1-Day-Schwachstellen in ungepatchten Oracle- und Atlassian-Webservern ausnutzt.

    Die Angreifer nutzten die drei Schwachstellen in den Servern (CVE-2019-3396, CVE-2019-11581 und CVE-2012-3152) als Angriffsvektor, um zunächst Fuß zu fassen. Anschließend injizierten sie eine Web-Shell und einen JSP-Dateibrowser, die beide dazu verwendet wurden, sich seitlich im Netzwerk zu bewegen, zusätzliche Malware zu holen und das Explosive RAT herunterzuladen, das über Funktionen zum Aufzeichnen von Tastatureingaben, Erfassen von Screenshots und Ausführen beliebiger Befehle verfügt.

    “Die Web-Shell wird verwendet, um verschiedene Spionageoperationen über den angegriffenen Webserver auszuführen, einschließlich der Lokalisierung potenzieller Assets für weitere Angriffe, der Konfiguration des Datei-Installationsservers und mehr”, so die Forscher, jedoch nicht, bevor sie erweiterte Rechte erhalten, um die Aufgaben auszuführen und die Ergebnisse an einen Command-and-Control-Server (C2) zu übermitteln.

    In den fünf Jahren seit dem ersten Auftauchen des Explosive RAT wurden laut ClearSky in der letzten Iteration (V4) neue Anti-Debugging-Funktionen zum Implantat hinzugefügt, wobei die Kommunikation zwischen dem kompromittierten Rechner und dem C2-Server nun verschlüsselt ist.

    Es ist zwar nicht überraschend, dass sich Bedrohungsakteure bedeckt halten, aber die Tatsache, dass Lebanese Cedar es geschafft hat, seit 2015 im Verborgenen zu bleiben, ohne auch nur die geringste Aufmerksamkeit zu erregen, lässt vermuten, dass die Gruppe zwischendurch für längere Zeit ihre Aktivitäten eingestellt hat, um nicht entdeckt zu werden.

    ClearSky merkte an, dass die Verwendung der Web-Shell als primäres Hacking-Tool der Gruppe dazu beigetragen haben könnte, die Forscher in eine “Sackgasse in Bezug auf die Zuordnung” zu führen.

    “Die libanesische Gruppe Cedar hat ihren Schwerpunkt deutlich verlagert. Anfänglich griffen sie Computer als ersten Zugangspunkt an, gingen dann zum Netzwerk des Opfers über und zielten nun auf verwundbare, öffentlich zugängliche Webserver ab”, fügten die Forscher hinzu.

    Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

    Einige Teile dieses Artikels stammen aus:
    thehackernews.com