以色列資安廠商 Clearsky,日前發表研究報告指出,一個 APT 駭侵團體「黎巴嫩雪松」(Lebanese Cedar),自 2020 年初開始針對多個國家的電信業者與 ISP 發動攻擊,主要目的疑為竊取情報與機敏資訊。
據 Clearsky 的報告指出,受到 Lebanese Cedar 駭侵攻擊的電信業者與 ISP,分布在美國、英國、以色列、埃及、沙烏地阿拉伯、黎巴嫩、約旦、巴勒斯坦與阿拉伯聯合大公國等;遭到駭入的 web server 數量超過 250 台。
Clearsky 表示,這些電信業者和 ISP 的各種資料,包括旗下用戶的通訊記錄、各種隱私資訊,可能均已遭到 Lebanese Cedar 竊取。
Clearsky 指出,Lebanese Cedar 的攻擊方式,採取一種簡單但有效的手法:先以網路上很容易找到的開放源碼駭侵工具,在網路上掃瞄,尋找還存有未修補漏洞的 Atlassian 和 Oracle 伺服器,接著設法侵入該伺服器,並且安裝一個 web shell 以待日後利用。
這些被找出來的未修補 Atlassian 和 Oracle 伺服器,多半存有以下三個已知漏洞,因而遭到入侵:
- CVE-2019-3396:存於 Atlassian Confluence
- CVE-2019-11581:存於 Atlassian Jira
- CVE-2012-3152:存於 Oracle Fusion
透過這些漏洞進入系統後,攻擊者更會在受害公司的內部網路,植入更強大的後門惡意軟體 Explosive;駭侵者經常使用這個惡意軟體來竊取各種資料。
Clearsky 在報告中,也列出了目前已知遭到駭入的各國電信業者與 ISP 名單。
本文轉載自TWCERT/CC。