以色列網(wǎng)絡(luò)安全公司 Clearsky 宣稱(chēng)發(fā)現(xiàn)了 254 臺(tái)服務(wù)器被 Lebanese Cedar 黑客入侵����,推測(cè)該組織幕后與真主黨武裝有難以明說(shuō)的聯(lián)系�����。
此前已有許多爆料稱(chēng),Lebanses Cedar 與發(fā)生在英美�����、中東等多地的電信運(yùn)營(yíng)商 / 互聯(lián)網(wǎng)服務(wù)提供商入侵事件有關(guān)���。而 Clearsky 的調(diào)查發(fā)現(xiàn)�����,新一輪攻擊可追溯到 2020 年初���。
攻擊流程示意
在今日發(fā)布的一份報(bào)告中,Clearsky 宣稱(chēng)發(fā)現(xiàn)了至少 250 臺(tái)被 LC 黑客入侵的服務(wù)器:
這些攻擊似乎旨在收集相關(guān)情報(bào)�����,竊取包含敏感數(shù)據(jù)的企業(yè)數(shù)據(jù)庫(kù)����。對(duì)于電信企業(yè)來(lái)說(shuō),LC 黑客顯然也對(duì)包含通話記錄 / 客戶(hù)私人信息的數(shù)據(jù)庫(kù)有濃厚的興趣。
網(wǎng)絡(luò)安全研究人員指出���,LC 黑客似乎遵循著一種簡(jiǎn)單的模式:
他們會(huì)先用開(kāi)源的黑客掃描工具對(duì)運(yùn)營(yíng)商展開(kāi)互聯(lián)網(wǎng)掃描�,以查找未打補(bǔ)丁的 Atlassian 和 Oracle 服務(wù)器���。然后利用相關(guān)漏洞方法來(lái)訪問(wèn)服務(wù)器并植入 Web Shell����,以便其將來(lái)訪問(wèn)���。
在完成上述準(zhǔn)備工作之后����,LC 黑客會(huì)利用暗中部署的 Web Shell 對(duì)目標(biāo)企業(yè)的內(nèi)網(wǎng)展開(kāi)攻擊�,并從中竊取私密文檔。
具體說(shuō)來(lái)是����,LC 黑客使用 CVE-2019-3396 漏洞攻擊了 Atlassian Confluence����、利用 CVE-2019-11581 漏洞侵入了 Atlassian Jira、以及借助 CVE-2012-3152 漏洞攻破了 Oracle Fusion 。
已知 LC 黑客攻擊事件受害者列表
一旦獲得了對(duì)這些系統(tǒng)的訪問(wèn)權(quán)限��,攻擊者就會(huì)部署 ASPXSpy���、Caterpillar 2���、Mamad Warning 之類(lèi)的 Web Shell,以及名為 JSP 的開(kāi)源文件瀏覽器(同樣可充當(dāng) Web Shell)�����。
接著在目標(biāo)企業(yè)的內(nèi)部網(wǎng)絡(luò)上�,攻擊者會(huì)部署功能更加強(qiáng)大的 Explosive 遠(yuǎn)程訪問(wèn)木馬(RAT),以實(shí)施進(jìn)一步的數(shù)據(jù)滲透(之前用過(guò)的老套路)�����。
Clearsky 指出��,之所以將 LC 黑客攻擊事件與真主黨武裝有關(guān)���,是因?yàn)榻刂聊壳?����,這款 RAT 工具一直被它們所專(zhuān)門(mén)使用����。
與此同時(shí),網(wǎng)絡(luò)安全研究人員也指出了 LC 黑客犯下的某些失誤����,比如經(jīng)常在入侵過(guò)程中使用同樣的文件,使得外界可以對(duì)該組織的活動(dòng)軌跡展開(kāi)更好的追溯�。
目前已知的 LC 黑客事件受害者,包括了埃及的沃達(dá)豐�����、阿聯(lián)酋航空�����、沙特 SaudiNet 電信公司���、以及美國(guó)的 Frontier Communications 等企業(yè)�����。
