Регистрация / Вход
мобильная версия
ВОЙНА и МИР

 Сюжет дня

Иран ускорит рассмотрение проекта об активизации ядерной деятельности
СМИ: разведка США считает Израиль виновным в убийстве иранского ученого
Под Тегераном убит «куратор» иранской ядерной программы: Быть конфронтации
Главная страница » Новости » Просмотр
Версия для печати
Раскрыта масштабная кибератака на российские банки
09.04.15 22:26 Армия, ВПК, спецслужбы

Компания Eset раскрыла масштабную кибератаку "Операция Buhtrap", нацеленную на российский бизнес — в частности, банковский сектор. Операция длилась как минимум год, и большинство заражений пришлось на пользователей из России (88%).

Атакующие устанавливали вредоносное ПО на компьютеры, использующие в Windows русский язык по умолчанию. Источником заражения был документ Word с эксплойтом CVE-2012-0158, который рассылался в приложении к письму. Один из обнаруженных образцов вредоносного документа имитировал счет за оказание услуг (файл под названием "Счет № 522375-ФЛОРЛ-14-115.doc"), второй – контракт мобильного оператора "Мегафон" ("kontrakt87.doc").

Когда пользователь открывает вредоносный документ, на ПК устанавливается загрузчик. Программа проверяет некоторые параметры Windows, после чего скачивает с удаленного сервера архив 7z с вредоносными модулями. В некоторых случаях, чтобы обойти автоматические системы анализа и виртуальные машины, загрузчик устанавливал на ПК безвредный архив с панелью Windows Live Toolbar.

Вредоносные модули представляют собой самораспаковывающиеся архивы формата 7z, защищенные паролем. Многие модули подписаны действительными цифровыми сертификатами, которые были отозваны после обращения специалистов Eset. Эксперты компании обнаружили четыре сертификата, выданные юридическим лицам, зарегистрированным в Москве.

Чтобы установить контроль над зараженным ПК, в "Операции Buhtrap" используются программы с исполняемыми файлами mimi.exe и xtm.exe. Они позволяют получить или восстановить пароль от Windows, создать новый аккаунт в операционной системе, включить сервис RDP (Remote Desktop Protocol). Далее с помощью исполняемого файла impack.exe осуществляется установка бэкдора LiteManage, который позволяет атакующим удаленно управлять системой.

География распространения вирусов Buhtrap

После этого на ПК загружается банковское шпионское ПО с названием исполняемого файла pn_pack.exe. Программа специализируется на краже данных и взаимодействии с удаленным командным сервером. Ее запуск выполняется с использованием известного продукта Yandex Punto. Шпионское ПО может отслеживать и передавать на удаленный сервер нажатие клавиш (кейлоггер) и содержимое буфера обмена, а также перечислять смарт-карты, присутствующие в системе.


Фишинговый документ представлял собой счет

"Схема заражения выглядит следующим образом, – объяснил Жан-Йен Бутен (Jean-Ian Boutin), вирусный аналитик Eset. – Злоумышленники компрометируют один ПК компании, отправив сотруднику фишинговое сообщение с эксплойтом. Как только вредоносная программа будет установлена, атакующие воспользуются программными инструментами, чтобы расширить свои полномочия в системе и выполнять другие задачи: компрометировать остальные компьютеры, шпионить за пользователем и отслеживать его банковские транзакции".


Или контракт

Эксперты Eset отметили сходство данной атаки с крупным инцидентом с применением банковского трояна Anunak/Carbanak. Злоумышленники, которые стоят за "Операцией Buhtrap", используют методы, характерные для таргетированных атак, не связанных с финансовым мошенничеством.

 

Henry09.04.15 23:05
А что молчит, что нам скажет Евгений Валентинович Касперский?
Alanv09.04.15 23:48
> Henry
А что молчит, что нам скажет Евгений Валентинович Касперский?
Возможно, Касперский его автоматом отразил и просто не заметил? Бо эксплойт явно не "0-day", обычный WORD-овский (макросы у многих отключены по умолчанию), бэкдор тоже вроде как не новый и должен бы быть во всех вирусных базах... Ну и 88% - это много, но сколько атак было в абсолютных цифрах? Может штук 12?

Henry09.04.15 23:56
> Alanv
> Henry
А что молчит, что нам скажет Евгений Валентинович Касперский?
Возможно, Касперский его автоматом отразил и просто не заметил? Бо эксплойт явно не "0-day", обычный WORD-овский (макросы у многих отключены по умолчанию), бэкдор тоже вроде как не новый и должен бы быть во всех вирусных базах... Ну и 88% - это много, но сколько атак было в абсолютных цифрах? Может штук 12?

Т. Е. PR - акция дя продвижения на российский рынок?
Alanv10.04.15 00:01

"Т. Е. PR - акция дя продвижения на российский рынок?"

Может и такое... А может и компания обычного пугания "российскими страхами" - теперь совесть уже у всех на Западе потеряна... Хотя опять же, может и реальная атака проходила.

Надо будет заглянуть на сайт Лаборатории - они чего-нибудь да отпишут, если не напрямую, так в квартальных обозрениях.

kotik10.04.15 08:47
Достаточно подробно описан механизм, так что похоже на правду. Тут даже больше не вирус а планомерная атака, а это немного другое. Вирусня она однообразна и будучи выявденной антивирусом успешно прибивается. А тут комплаекс програмных мер, существуют так называемые крипторы, которые изменяют код так что антивирусник уже не реагирует. И авторы атаки, явно тестируют свои программы на антивирусах перед отправкой. Плюс в запароленый архив антивирус не залезет.
Сейчас в нашем городке, а может и по России, шифровальшики активность проявляют. Высылают так же на почту организации, бухгалтера, менеджера писмо типа "счет" или "срочно оплатить" а при открытии ставится ПО, которое шифрует все документы, за расшифровку просят баксы.
Alanv10.04.15 09:56

"Сейчас в нашем городке, а может и по России, шифровальшики активность проявляют. Высылают так же на почту организации, бухгалтера, менеджера писмо типа "счет" или "срочно оплатить" а при открытии ставится ПО, которое шифрует все документы, за расшифровку просят баксы."

- Выделяется отдельная девочка для чтения присланных по почте вложенных документов, с мощным антивирусом и минимальными правами, кроме работы с почтой. Достаточно часто выполняется инкрементное копирование куда-нить на другую машину.

- Полностью убирается возможность открытия макросов в Оффисе для читающих почту

negr10.04.15 10:10
открывать в виртуальной машине со снапшотом
timosha10.04.15 15:23
Alanv - Выделяется отдельная девочка для чтения присланных по почте вложенных документов...

.

А что потом с этой девочкой делать, когда она лишнего начитается?
kotik10.04.15 15:40
Сейчас даже вложения открывать не надо, встал на писмо, оно открылось в окне просмотра и усе. То есть скрипт уже в самом письме.
Девочка с отдельным компом, может сидеть в небольшой организации, а если у нас 1000 рабочих мест, на всех девочек не напосешся :)
Alanv10.04.15 15:44
> timosha
Alanv - Выделяется отдельная девочка для чтения присланных по почте вложенных документов...
.
А что потом с этой девочкой делать, когда она лишнего начитается?
Девочка-то сама из бухгалтерии, там всё равно все и всякие счета с накладными... А всяческие ОЧЕНЬ важные документы по электронке без своего шифрования?... - теперь таких дураков нема, да и мало таковых документов... А под шифр вирус не запихнёшь.
Главный Злодей10.04.15 15:45
А что потом с этой девочкой делать, когда она лишнего начитается? В местах, где можно начитаться лишнего, применяются специальные девочки под подпиской. Если места особо ответственные - с допусками и в погонах. А если потребуется, то даже и мальчики.

Alanv10.04.15 16:00
> kotik
Сейчас даже вложения открывать не надо, встал на писмо, оно открылось в окне просмотра и усе. То есть скрипт уже в самом письме.
Девочка с отдельным компом, может сидеть в небольшой организации, а если у нас 1000 рабочих мест, на всех девочек не напосешся :)

- Самооткрывающееся письмо - это не упоминавшийся тут ".doc", это дыра в просмотрщике (у большинства - в IE). Не пользуйтесь Outlook-ом и настраивайте просмотрщик. Ну и ставьте обновления и пользуйте антивирус...

- Это наоборот, при 1000 проще выделить и натренировать девочку, освобождая большое кол-во остальных от копания в почте. Кроме всего она фильтрует просочившийся спам, явно вирусные письма, и сама отвечает на простейшие запросы.

У меня так работает - и ни одного заразившего ЧЕРЕЗ ПОЧТУ вируса за довольно много лет. Куда сложнее с желающими на работе в инете сексуально разрядиться и поболтать где угодно :)))

timosha10.04.15 16:11
Alanv - при 1000 проще выделить и натренировать девочку, освобождая большое кол-во остальных от копания в почте. Кроме всего она фильтрует просочившийся спам, явно вирусные письма, и сама отвечает на простейшие запросы.

.

Дуру сажать на это дело неразумно, а умная быстренько начнёт монетизировать свой ресурс.
zizmo10.04.15 17:24
> Alanv
- Выделяется отдельная девочка для чтения присланных по почте вложенных документов, с мощным антивирусом и минимальными правами, кроме работы с почтой. Достаточно часто выполняется инкрементное копирование куда-нить на другую машину.
Вот именно такая девочка и запустила ехешник с названием типа "Мы подаем на вас в суд". Половину самбовой шары зашифровала ) Но, бэкапы рулят.
English
Архив
Форум

 Наши публикациивсе статьи rss

» Памяти Фывы
» Девятое криптопослание Блинову, Фридману и... Глазьеву.
» Алексей Скрипалевич Навальный
» Дж.Сорос о "доктрине Сороса" и препятствующей глобализму политике США
» История в стиле минимализм
» Исраэль Шамир о феномене и опасности «мирового еврейства». Компиляция.
» Дискурс драпировки Мавзолея
» Ковид-19. Что же все таки происходит. Мнение почти участника событий.
» Законность ограничительных мер в связи с КОВИД-19. Вопросы без ответов

 Новостивсе статьи rss

» Алиев учредил День победы в Азербайджане
» Евросоюз назвал сотрудничество с США по России ключевым
» "Газпром" в 8 раз увеличит инвестиции в газификацию сел Мордовии
» Готова ли российская бюрократия самореформироваться
» Глава МИД Украины назвал пять приоритетов работы "Крымской платформы"
» Баку заявил о создании с Турцией парка высоких технологий в Карабахе
» Назван способ обойти ограничения против "Северного потока — 2"
» Модуль китайской станции стартовал с Луны с образцами грунта

 Репортаживсе статьи rss

» Новое небо: как в России за одну ночь изменилась схема воздушного движения
» «Концепция сетецентрической войны»: что может стоять за учениями НАТО Steadfast Jupiter-Jackal 2020
» Обзор Аравии: кем может «пожертвовать» король Салман; зачем КСА поворачивается к Турции; чего боится кронпринц в отношениях с Израилем; и многое другое за октябрь-ноябрь 2020
» "Они шли как зомби": добровольцы рассказали, с кем столкнулись в Карабахе
» Битва титана: российские ученые разработали новое средство для очистки сточных вод
» НАТО готово противостоять Трампу в его афганской стратегии
» Высокие технологии изменят жизнь российского села
» Синтез с опытом деления. "Росатом" углубляет базовые компетенции, развивает новые и меняется сам

 Комментариивсе статьи rss

» Армяне еще не осознали, что произошло
» Гипотетические вопросы
» "Русские сделали это": построена мировая тоталитарная держава
» Разведка газа на шельфе Черного моря – это пустые хлопоты?
»  Наступление в войне идей. Оборонительная традиция неуместна в нынешнем мире
» «Логика мышления в ЕС остается «антисоветской»
» Демократия может быть не только либеральной: ответ Орбана на кляузу Сороса
» «Турецкая мечта»: Анкара борется за влияние в республиках бывшего СССР

 Аналитикавсе статьи rss

» Россия как камень преткновения в военном сотрудничестве Индии и США
» На мировом рынке золота подули новые ветры
» Современная Турция повторяет путь Германии Кайзера
» Восьмое криптопослание Госдуме
» «Прощай, Америка»: китайский вариант Евросоюза
» Трамп показал Америке правду, которую она не сможет перенести
» Есть ли у Европы альтернативы российскому газу
» Взломанная демократия Америки
 
мобильная версия Сайт основан Натальей Лаваль в 2006 году © 2006-2020 Inca Group "War and Peace"