Libanesische APT-Gruppe mit mutmaßlichen Verbindungen zur Hisbollah brach in 250 Server weltweit ein

  • Etwa 250 Server wurden offenbar von der libanesischen APT-Gruppe Cedar angegriffen, einer Organisation mit mutmaßlichen Verbindungen zur Cyber-Einheit der Hisbollah im Libanon.

    Zu den Zielopfern gehören Unternehmen aus vielen Ländern, darunter die Vereinigten Staaten, Großbritannien, Saudi-Arabien, Ägypten, Jordanien, Libanon, Israel und die Palästinensische Autonomiebehörde.

    Viele weitere Unternehmen und Organisationen wurden gehackt, und dass wertvolle Informationen über einen Zeitraum von Monaten und Jahren gestohlen, ClearSky Forscher schrieb in einem Blog gepostet.

    Die Sicherheitsfirma, die verdächtige Aktivitäten erstmals Anfang 2020 entdeckte, sagte, dass der Angriff auf einem modifizierten JSP-Dateibrowser mit einer eindeutigen Zeichenfolge basierte, die der Angreifer verwendete, um das “Explosive” V4 Remote Access Tool (RAT) oder die “Caterpillar” V2 WebShell in den Netzwerken der Opfer zu installieren. Die Datei wurde auf anfälligen Atlassian Jira- und Oracle 10g-Servern installiert. Der libanesische Cedar nutzte seit einem Tag öffentlich bekannte Sicherheitslücken wie CVE-2012-3152 aus, um die JSP in anfälligen Servern zu installieren.

    Die APT-Gruppe – auch als “Volatile Cedar” bezeichnet – ist seit 2012 aktiv und hat sich seit 2015, als ihre Operationen erstmals von CheckPoint-Forschern und Kaspersky Labs entdeckt wurden, unauffällig verhalten und unter dem Radar geflogen.

    ClearSky stimmt mit dem ersten Bericht von CheckPoint überein, dass die “Lebanese Cedar APT” durch politische und ideologische Interessen motiviert ist, auf Einzelpersonen, Unternehmen und Institutionen weltweit abzielt und starke Verbindungen zur libanesischen Regierung oder einer politischen Gruppe im Libanon hat.

    Die Angriffe der libanesischen Gruppe begannen damit, dass sie bekannte Schwachstellen auf öffentlichen Webservern ausnutzten und dann eine benutzerdefinierte Malware verteilten, um Dateien zu stehlen, während sie im Verborgenen blieben, sagte Ivan Righi, Cyber Threat Intelligence Analyst bei Digital Shadows, und fügte hinzu, dass. Die Gruppe hat eine speziell geschriebene Malware namens “Explosive” verwendet, ein Trojaner zum Stehlen von Informationen, den die Gruppe seit 2015 einsetzt, sagte er. Die Explosive-Malware scheint mehrere Versionen durchlaufen zu haben, die in der Regel aktualisiert werden, um die Erkennung durch Antivirenprogramme zu vermeiden.

    “Die letzte Kampagne verwendete eine neue Version von Explosive mit neuen Fähigkeiten”, sagte Righi. “Lebanese Cedar” oder “Volatile Cedar” ist technisch fortgeschritten und hat einen effektiven Einsatz von Taktiken gezeigt, die sie als hochrangige Bedrohung charakterisieren. Über ihre Aktivitäten wurde zuletzt 2015 öffentlich berichtet. Sie stehen in Verbindung mit der schiitischen islamistischen politischen Partei und militanten Gruppe Hisbollah. Sie haben diese Kampagne wahrscheinlich durchgeführt, um die Motive der Hisbollah zu unterstützen, um sensible Informationen zu erhalten.”

    Einige Teile dieses Artikels stammen aus:
    www.scmagazine.com