Регистрация / Вход
мобильная версия
ВОЙНА и МИР

 Сюжет дня

Стали известны члены нового правительства
Путин внес проект поправок в Конституцию России в Госдуму
Путин предложил главе ФНС Михаилу Мишустину пост премьера
Правительство России уходит в отставку
Главная страница » Новости » Просмотр
Версия для печати
Раскрыта масштабная кибератака на российские банки
09.04.15 22:26 Армия, ВПК, спецслужбы

Компания Eset раскрыла масштабную кибератаку "Операция Buhtrap", нацеленную на российский бизнес — в частности, банковский сектор. Операция длилась как минимум год, и большинство заражений пришлось на пользователей из России (88%).

Атакующие устанавливали вредоносное ПО на компьютеры, использующие в Windows русский язык по умолчанию. Источником заражения был документ Word с эксплойтом CVE-2012-0158, который рассылался в приложении к письму. Один из обнаруженных образцов вредоносного документа имитировал счет за оказание услуг (файл под названием "Счет № 522375-ФЛОРЛ-14-115.doc"), второй – контракт мобильного оператора "Мегафон" ("kontrakt87.doc").

Когда пользователь открывает вредоносный документ, на ПК устанавливается загрузчик. Программа проверяет некоторые параметры Windows, после чего скачивает с удаленного сервера архив 7z с вредоносными модулями. В некоторых случаях, чтобы обойти автоматические системы анализа и виртуальные машины, загрузчик устанавливал на ПК безвредный архив с панелью Windows Live Toolbar.

Вредоносные модули представляют собой самораспаковывающиеся архивы формата 7z, защищенные паролем. Многие модули подписаны действительными цифровыми сертификатами, которые были отозваны после обращения специалистов Eset. Эксперты компании обнаружили четыре сертификата, выданные юридическим лицам, зарегистрированным в Москве.

Чтобы установить контроль над зараженным ПК, в "Операции Buhtrap" используются программы с исполняемыми файлами mimi.exe и xtm.exe. Они позволяют получить или восстановить пароль от Windows, создать новый аккаунт в операционной системе, включить сервис RDP (Remote Desktop Protocol). Далее с помощью исполняемого файла impack.exe осуществляется установка бэкдора LiteManage, который позволяет атакующим удаленно управлять системой.

География распространения вирусов Buhtrap

После этого на ПК загружается банковское шпионское ПО с названием исполняемого файла pn_pack.exe. Программа специализируется на краже данных и взаимодействии с удаленным командным сервером. Ее запуск выполняется с использованием известного продукта Yandex Punto. Шпионское ПО может отслеживать и передавать на удаленный сервер нажатие клавиш (кейлоггер) и содержимое буфера обмена, а также перечислять смарт-карты, присутствующие в системе.


Фишинговый документ представлял собой счет

"Схема заражения выглядит следующим образом, – объяснил Жан-Йен Бутен (Jean-Ian Boutin), вирусный аналитик Eset. – Злоумышленники компрометируют один ПК компании, отправив сотруднику фишинговое сообщение с эксплойтом. Как только вредоносная программа будет установлена, атакующие воспользуются программными инструментами, чтобы расширить свои полномочия в системе и выполнять другие задачи: компрометировать остальные компьютеры, шпионить за пользователем и отслеживать его банковские транзакции".


Или контракт

Эксперты Eset отметили сходство данной атаки с крупным инцидентом с применением банковского трояна Anunak/Carbanak. Злоумышленники, которые стоят за "Операцией Buhtrap", используют методы, характерные для таргетированных атак, не связанных с финансовым мошенничеством.

 

Henry09.04.15 23:05
А что молчит, что нам скажет Евгений Валентинович Касперский?
Alanv09.04.15 23:48
> Henry
А что молчит, что нам скажет Евгений Валентинович Касперский?
Возможно, Касперский его автоматом отразил и просто не заметил? Бо эксплойт явно не "0-day", обычный WORD-овский (макросы у многих отключены по умолчанию), бэкдор тоже вроде как не новый и должен бы быть во всех вирусных базах... Ну и 88% - это много, но сколько атак было в абсолютных цифрах? Может штук 12?

Henry09.04.15 23:56
> Alanv
> Henry
А что молчит, что нам скажет Евгений Валентинович Касперский?
Возможно, Касперский его автоматом отразил и просто не заметил? Бо эксплойт явно не "0-day", обычный WORD-овский (макросы у многих отключены по умолчанию), бэкдор тоже вроде как не новый и должен бы быть во всех вирусных базах... Ну и 88% - это много, но сколько атак было в абсолютных цифрах? Может штук 12?

Т. Е. PR - акция дя продвижения на российский рынок?
Alanv10.04.15 00:01

"Т. Е. PR - акция дя продвижения на российский рынок?"

Может и такое... А может и компания обычного пугания "российскими страхами" - теперь совесть уже у всех на Западе потеряна... Хотя опять же, может и реальная атака проходила.

Надо будет заглянуть на сайт Лаборатории - они чего-нибудь да отпишут, если не напрямую, так в квартальных обозрениях.

kotik10.04.15 08:47
Достаточно подробно описан механизм, так что похоже на правду. Тут даже больше не вирус а планомерная атака, а это немного другое. Вирусня она однообразна и будучи выявденной антивирусом успешно прибивается. А тут комплаекс програмных мер, существуют так называемые крипторы, которые изменяют код так что антивирусник уже не реагирует. И авторы атаки, явно тестируют свои программы на антивирусах перед отправкой. Плюс в запароленый архив антивирус не залезет.
Сейчас в нашем городке, а может и по России, шифровальшики активность проявляют. Высылают так же на почту организации, бухгалтера, менеджера писмо типа "счет" или "срочно оплатить" а при открытии ставится ПО, которое шифрует все документы, за расшифровку просят баксы.
Alanv10.04.15 09:56

"Сейчас в нашем городке, а может и по России, шифровальшики активность проявляют. Высылают так же на почту организации, бухгалтера, менеджера писмо типа "счет" или "срочно оплатить" а при открытии ставится ПО, которое шифрует все документы, за расшифровку просят баксы."

- Выделяется отдельная девочка для чтения присланных по почте вложенных документов, с мощным антивирусом и минимальными правами, кроме работы с почтой. Достаточно часто выполняется инкрементное копирование куда-нить на другую машину.

- Полностью убирается возможность открытия макросов в Оффисе для читающих почту

negr10.04.15 10:10
открывать в виртуальной машине со снапшотом
timosha10.04.15 15:23
Alanv - Выделяется отдельная девочка для чтения присланных по почте вложенных документов...

.

А что потом с этой девочкой делать, когда она лишнего начитается?
kotik10.04.15 15:40
Сейчас даже вложения открывать не надо, встал на писмо, оно открылось в окне просмотра и усе. То есть скрипт уже в самом письме.
Девочка с отдельным компом, может сидеть в небольшой организации, а если у нас 1000 рабочих мест, на всех девочек не напосешся :)
Alanv10.04.15 15:44
> timosha
Alanv - Выделяется отдельная девочка для чтения присланных по почте вложенных документов...
.
А что потом с этой девочкой делать, когда она лишнего начитается?
Девочка-то сама из бухгалтерии, там всё равно все и всякие счета с накладными... А всяческие ОЧЕНЬ важные документы по электронке без своего шифрования?... - теперь таких дураков нема, да и мало таковых документов... А под шифр вирус не запихнёшь.
Главный Злодей10.04.15 15:45
А что потом с этой девочкой делать, когда она лишнего начитается? В местах, где можно начитаться лишнего, применяются специальные девочки под подпиской. Если места особо ответственные - с допусками и в погонах. А если потребуется, то даже и мальчики.

Alanv10.04.15 16:00
> kotik
Сейчас даже вложения открывать не надо, встал на писмо, оно открылось в окне просмотра и усе. То есть скрипт уже в самом письме.
Девочка с отдельным компом, может сидеть в небольшой организации, а если у нас 1000 рабочих мест, на всех девочек не напосешся :)

- Самооткрывающееся письмо - это не упоминавшийся тут ".doc", это дыра в просмотрщике (у большинства - в IE). Не пользуйтесь Outlook-ом и настраивайте просмотрщик. Ну и ставьте обновления и пользуйте антивирус...

- Это наоборот, при 1000 проще выделить и натренировать девочку, освобождая большое кол-во остальных от копания в почте. Кроме всего она фильтрует просочившийся спам, явно вирусные письма, и сама отвечает на простейшие запросы.

У меня так работает - и ни одного заразившего ЧЕРЕЗ ПОЧТУ вируса за довольно много лет. Куда сложнее с желающими на работе в инете сексуально разрядиться и поболтать где угодно :)))

timosha10.04.15 16:11
Alanv - при 1000 проще выделить и натренировать девочку, освобождая большое кол-во остальных от копания в почте. Кроме всего она фильтрует просочившийся спам, явно вирусные письма, и сама отвечает на простейшие запросы.

.

Дуру сажать на это дело неразумно, а умная быстренько начнёт монетизировать свой ресурс.
zizmo10.04.15 17:24
> Alanv
- Выделяется отдельная девочка для чтения присланных по почте вложенных документов, с мощным антивирусом и минимальными правами, кроме работы с почтой. Достаточно часто выполняется инкрементное копирование куда-нить на другую машину.
Вот именно такая девочка и запустила ехешник с названием типа "Мы подаем на вас в суд". Половину самбовой шары зашифровала ) Но, бэкапы рулят.
English
Архив
Форум

 Наши публикациивсе статьи rss

» Памяти Фывы
» С 2020-м!
» Почему «глобальному Югу» следует национализировать свои пользовательские данные
» Три столицы Северо-Евразийской цивилизации
» О морализаторстве в политике
» Революция идиотов 1789
» "Мнения о заграницах": логика привода к общему знаменателю
» Что нужно знать о первичном размещении акций арабо-американской нефтяной компании (IPO Saudi Aramco)
» Почему мотор китайской экономики скоро заглохнет?

 Новостивсе статьи rss

» Счета и имущество оператора подземных хранилищ газа Украины арестованы
» Россия начала разработку вакцины от нового коронавируса из Китая
» Ученые впервые наблюдали, что происходит в окрестностях черной дыры
» Глава Белого дома анонсировал «выдающиеся» изменения для ВТО
» Силы Хафтара нанесли ракетный удар по аэропорту Триполи
» В Белоруссию собирается с визитом госсекретарь Майкл Помпео
»  В Волгоградской области построят несколько ветроэлектростанций
» Британский парламент одобрил законопроект по условиям Brexit

 Репортаживсе статьи rss

» Индия поставила на вооружение первую эскадрилью Су-30МКИ со сверхзвуковыми ракетами
» Военные блоки сменяются технологическими
» Павел Шутов: безаварийный год повысил космическую репутацию России
» Гордость машиностроения Белоруссии – БелАЗ – останавливается
» В Иране обостряется конфликт между двумя лагерями иранской элиты
» В Хельсинки заинтересовались скоростной железной дорогой из Москвы
»  В Ливии создадут комиссию по перемирию
» Почему в "самой счастливой стране мира" почти самый высокий уровень самоубийств?

 Комментариивсе статьи rss

» Лондон — Вашингтону: Китай и Россию нужно развести во что бы то ни стало
» Идеолог нацпроектов переброшен в правительство для придания им динамики. Обобщение
» Если самоуправление мешает бизнесу, долой такую демократию?
» Почему вымирает Прибалтика
» BMW отказался строить завод в Калининграде: что потерял российский эксклав?
» Кто на самом деле нанес удар по украинскому лайнеру? Иран сбил его, но это еще не вся история
» Антииранские настроения в Ираке - реальность или обман Соединенными Штатами своих союзников
» Россия копит деньги на случай изоляции?

 Аналитикавсе статьи rss

» Промышленность России: итоги 2019 года
» Израиль подливает керосина в разгорающийся в Средиземном море «пожар»
» Эволюция советской экономики 1950-1960 годов. Часть 1: реформы Маленкова
» Опасны ли солнечные панели? «Зеленая» энергетика и жизнь
» Историческая граница России на западе — это граница 1800-го года
» Московская ошибка фельдмаршала Хафтара
» Борьба за контроль над ресурсами Восточного Средиземноморья становится напряжённой
» Никто не замечает главного диалектического противоречия эпохи
 
мобильная версия Сайт основан Натальей Лаваль в 2006 году © 2006-2019 Inca Group "War and Peace"