После затишья группа возобновила атаки, используя общедоступные инструменты.
В середине 2021 года исследователи «Лаборатории Касперского» обнаружили волну новых атак ливанской APT-группы DeftTorero (также известна как Volatile Cedar).
DeftTorero, впервые обнаруженная в 2012 году, активно атакует правительственные, военные, образовательные, корпоративные и телекоммуникационные отрасли, в частности в ОАЭ, Саудовской Аравии, Египте, Кувейте, Ливане, Иордании и Турции.
Ранее Volatile Cedar активно использовала RAT троян Explosive для сбора конфиденциальной информации . Затем группировка прекратила свою деятельность и возобновила ее в 2021 году, после чего эксперты «Лаборатории Касперского» предположили, что хакеры изменили TTPs с целью замаскировать свою активность с использованием бесфайловых вредоносных программ и оставаться незамеченными.
Как показало новое расследование Лаборатории Касперского , DeftTorero использовала форму загрузки файлов и уязвимость внедрения команд веб-приложения на действующем сайте или в песочнице, размещенных на целевом веб-сервере, для установки веб-шелла.
В других случаях, вероятно, использовались плагины, предварительно установленные администраторами сервера, и учетные данные сервера для входа в систему через RDP протокол для развертывания вредоносного скрипта. После загрузки вредоносного кода, хакеры попытались установить дополнительные инструменты для проникновения во внутренние системы. Анализ «Лаборатории Касперского» показал, что почти все развернутые веб-оболочки были созданы из репозиториев GitHub.
По словам экспертов Лаборатории Касперского, в прошлом DeftTorero не отличалась высоким уровнем технологического мастерства, но open-source инструменты, бесфайловые атаки и модификации инструментов по-прежнему используются группой для успешной компрометации жертв.
Поскольку такие атаки развиваются быстро и часто остаются незамеченными, их необходимо нейтрализовать на ранних стадиях. Специалисты порекомендовали организациям постоянно отслеживать уязвимости в общедоступных веб-приложениях, а также следить за целостностью файлов веб-приложений. Также в своем отчете исследователи поделились еще несколькими мерами защиты от атак на веб-приложения.
Одно найти легче, чем другое. Спойлер: это не темная материя