Ga naar inhoud

Bedrijven en overheden via kwetsbare webservers gecompromitteerd


Aanbevolen berichten

Een groep aanvallers die zeer waarschijnlijk uit China afkomstig is heeft bedrijven en overheden wereldwijd via kwetsbare webservers weten te compromitteren, zo meldt securitybedrijf Fox-IT in een vandaag verschenen rapport (pdf). Volgens de it-beveiliger werkt de groep vermoedelijk in dienst van de Chinese overheid en is diefstal van vertrouwelijke informatie het hoofddoel.

Om toegang tot de organisaties te krijgen maken de aanvallers gebruik van kwetsbare webservers, die vaak JBoss draaien. JavaBeans Open Source Software Application Server (JBoss), dat tegenwoordig bekendstaat als WildFly, is een Java-gebaseerde applicatieserver die door duizenden websites en applicaties wordt gebruikt. De software is al geruime tijd doelwit van aanvallen. Zo gaf de Amerikaanse overheid eind vorig jaar nog een waarschuwing voor aanvallen op Jboss-servers.

Vaak blijken de webservers in kwestie al door andere aanvallers te zijn gecompromitteerd en voorzien van een webshell. Via een webshell kan een aanvaller de volgende keer toegang tot de gecompromitteerde server krijgen. De groep waar Fox-IT over bericht maakte vaak gebruik van webshells die door andere aanvallers waren achtergelaten. Nadat er via de achtergelaten webshell toegang tot de server was verkregen installeerde de groep een eigen webshell.

Vanaf de gecompromitteerde webserver werd het achtergelegen netwerk aangevallen. Hierbij maakte groep gebruik van bekende tactieken, zoals het onderscheppen van inloggegevens en uitlezen van wachtwoordmanagers. Om toegang tot de wachtwoordmanager te krijgen installeerden de aanvallers een keylogger waarmee het master password werd verkregen. Het was de aanvallers onder andere te doen om vpn-gegevens waarmee weer andere systemen konden worden benaderd.

Na het compromitteren van de systemen zochten de aanvallers naar interessante informatie, die dan werd verzameld en teruggestuurd. Wereldwijd ontdekte Fox-IT tientallen slachtoffers, waaronder in Frankrijk, Duitsland, Italië, Spanje en de Verenigde Staten. Het gaat om overheden en bedrijven, waaronder managed service providers en ondernemingen in allerlei sectoren en industrieën. In Nederland zijn er geen getroffen organisaties waargenomen.

Naast het rapport heeft Fox-IT ook indicators of compromise (IOC) via GitHub beschikbaar gemaakt. Een IOC is een aanwijzing waarmee de aanwezigheid van een specifieke dreiging, zoals een bepaald malware-exemplaar, binnen het netwerk kan worden vastgesteld. Het gaat onder andere om ip-adressen, hashes en Yara-rules.

Een groep aanvallers die zeer waarschijnlijk uit China afkomstig is heeft bedrijven en overheden wereldwijd via kwetsbare webservers weten te compromitteren, zo meldt securitybedrijf Fox-IT in een vandaag verschenen rapport (pdf). Volgens de it-beveiliger werkt de groep vermoedelijk in dienst van de Chinese overheid en is diefstal van vertrouwelijke informatie het hoofddoel.

Om toegang tot de organisaties te krijgen maken de aanvallers gebruik van kwetsbare webservers, die vaak JBoss draaien. JavaBeans Open Source Software Application Server (JBoss), dat tegenwoordig bekendstaat als WildFly, is een Java-gebaseerde applicatieserver die door duizenden websites en applicaties wordt gebruikt. De software is al geruime tijd doelwit van aanvallen. Zo gaf de Amerikaanse overheid eind vorig jaar nog een waarschuwing voor aanvallen op Jboss-servers.

Vaak blijken de webservers in kwestie al door andere aanvallers te zijn gecompromitteerd en voorzien van een webshell. Via een webshell kan een aanvaller de volgende keer toegang tot de gecompromitteerde server krijgen. De groep waar Fox-IT over bericht maakte vaak gebruik van webshells die door andere aanvallers waren achtergelaten. Nadat er via de achtergelaten webshell toegang tot de server was verkregen installeerde de groep een eigen webshell.

Vanaf de gecompromitteerde webserver werd het achtergelegen netwerk aangevallen. Hierbij maakte groep gebruik van bekende tactieken, zoals het onderscheppen van inloggegevens en uitlezen van wachtwoordmanagers. Om toegang tot de wachtwoordmanager te krijgen installeerden de aanvallers een keylogger waarmee het master password werd verkregen. Het was de aanvallers onder andere te doen om vpn-gegevens waarmee weer andere systemen konden worden benaderd.

Na het compromitteren van de systemen zochten de aanvallers naar interessante informatie, die dan werd verzameld en teruggestuurd. Wereldwijd ontdekte Fox-IT tientallen slachtoffers, waaronder in Frankrijk, Duitsland, Italië, Spanje en de Verenigde Staten. Het gaat om overheden en bedrijven, waaronder managed service providers en ondernemingen in allerlei sectoren en industrieën. In Nederland zijn er geen getroffen organisaties waargenomen.

Naast het rapport heeft Fox-IT ook indicators of compromise (IOC) via GitHub beschikbaar gemaakt. Een IOC is een aanwijzing waarmee de aanwezigheid van een specifieke dreiging, zoals een bepaald malware-exemplaar, binnen het netwerk kan worden vastgesteld. Het gaat onder andere om ip-adressen, hashes en Yara-rules.

Een groep aanvallers die zeer waarschijnlijk uit China afkomstig is heeft bedrijven en overheden wereldwijd via kwetsbare webservers weten te compromitteren, zo meldt securitybedrijf Fox-IT in een vandaag verschenen rapport (pdf). Volgens de it-beveiliger werkt de groep vermoedelijk in dienst van de Chinese overheid en is diefstal van vertrouwelijke informatie het hoofddoel.

Om toegang tot de organisaties te krijgen maken de aanvallers gebruik van kwetsbare webservers, die vaak JBoss draaien. JavaBeans Open Source Software Application Server (JBoss), dat tegenwoordig bekendstaat als WildFly, is een Java-gebaseerde applicatieserver die door duizenden websites en applicaties wordt gebruikt. De software is al geruime tijd doelwit van aanvallen. Zo gaf de Amerikaanse overheid eind vorig jaar nog een waarschuwing voor aanvallen op Jboss-servers.

Vaak blijken de webservers in kwestie al door andere aanvallers te zijn gecompromitteerd en voorzien van een webshell. Via een webshell kan een aanvaller de volgende keer toegang tot de gecompromitteerde server krijgen. De groep waar Fox-IT over bericht maakte vaak gebruik van webshells die door andere aanvallers waren achtergelaten. Nadat er via de achtergelaten webshell toegang tot de server was verkregen installeerde de groep een eigen webshell.

Vanaf de gecompromitteerde webserver werd het achtergelegen netwerk aangevallen. Hierbij maakte groep gebruik van bekende tactieken, zoals het onderscheppen van inloggegevens en uitlezen van wachtwoordmanagers. Om toegang tot de wachtwoordmanager te krijgen installeerden de aanvallers een keylogger waarmee het master password werd verkregen. Het was de aanvallers onder andere te doen om vpn-gegevens waarmee weer andere systemen konden worden benaderd.

Na het compromitteren van de systemen zochten de aanvallers naar interessante informatie, die dan werd verzameld en teruggestuurd. Wereldwijd ontdekte Fox-IT tientallen slachtoffers, waaronder in Frankrijk, Duitsland, Italië, Spanje en de Verenigde Staten. Het gaat om overheden en bedrijven, waaronder managed service providers en ondernemingen in allerlei sectoren en industrieën. In Nederland zijn er geen getroffen organisaties waargenomen.

Naast het rapport heeft Fox-IT ook indicators of compromise (IOC) via GitHub beschikbaar gemaakt. Een IOC is een aanwijzing waarmee de aanwezigheid van een specifieke dreiging, zoals een bepaald malware-exemplaar, binnen het netwerk kan worden vastgesteld. Het gaat onder andere om ip-adressen, hashes en Yara-rules.

 

 

bron: security.nl

Link naar reactie
Delen op andere sites

×
×
  • Nieuwe aanmaken...

Belangrijke informatie

We hebben cookies geplaatst op je toestel om deze website voor jou beter te kunnen maken. Je kunt de cookie instellingen aanpassen, anders gaan we er van uit dat het goed is om verder te gaan.