Регистрация / Вход
мобильная версия
ВОЙНА и МИР

 Сюжет дня

ВСУ попытались повторить в Селидово провокацию в Буче, заявил Мирошник
Заявление Президента Российской Федерации
Россия начала использовать замороженные активы иностранцев
Украина впервые ударила Storm Shadow вглубь России, сообщил Bloomberg
Главная страница » Новости » Просмотр
Версия для печати
Раскрыта масштабная кибератака на российские банки
09.04.15 22:26 Армия, ВПК, спецслужбы

Компания Eset раскрыла масштабную кибератаку "Операция Buhtrap", нацеленную на российский бизнес — в частности, банковский сектор. Операция длилась как минимум год, и большинство заражений пришлось на пользователей из России (88%).

Атакующие устанавливали вредоносное ПО на компьютеры, использующие в Windows русский язык по умолчанию. Источником заражения был документ Word с эксплойтом CVE-2012-0158, который рассылался в приложении к письму. Один из обнаруженных образцов вредоносного документа имитировал счет за оказание услуг (файл под названием "Счет № 522375-ФЛОРЛ-14-115.doc"), второй – контракт мобильного оператора "Мегафон" ("kontrakt87.doc").

Когда пользователь открывает вредоносный документ, на ПК устанавливается загрузчик. Программа проверяет некоторые параметры Windows, после чего скачивает с удаленного сервера архив 7z с вредоносными модулями. В некоторых случаях, чтобы обойти автоматические системы анализа и виртуальные машины, загрузчик устанавливал на ПК безвредный архив с панелью Windows Live Toolbar.

Вредоносные модули представляют собой самораспаковывающиеся архивы формата 7z, защищенные паролем. Многие модули подписаны действительными цифровыми сертификатами, которые были отозваны после обращения специалистов Eset. Эксперты компании обнаружили четыре сертификата, выданные юридическим лицам, зарегистрированным в Москве.

Чтобы установить контроль над зараженным ПК, в "Операции Buhtrap" используются программы с исполняемыми файлами mimi.exe и xtm.exe. Они позволяют получить или восстановить пароль от Windows, создать новый аккаунт в операционной системе, включить сервис RDP (Remote Desktop Protocol). Далее с помощью исполняемого файла impack.exe осуществляется установка бэкдора LiteManage, который позволяет атакующим удаленно управлять системой.

География распространения вирусов Buhtrap

После этого на ПК загружается банковское шпионское ПО с названием исполняемого файла pn_pack.exe. Программа специализируется на краже данных и взаимодействии с удаленным командным сервером. Ее запуск выполняется с использованием известного продукта Yandex Punto. Шпионское ПО может отслеживать и передавать на удаленный сервер нажатие клавиш (кейлоггер) и содержимое буфера обмена, а также перечислять смарт-карты, присутствующие в системе.


Фишинговый документ представлял собой счет

"Схема заражения выглядит следующим образом, – объяснил Жан-Йен Бутен (Jean-Ian Boutin), вирусный аналитик Eset. – Злоумышленники компрометируют один ПК компании, отправив сотруднику фишинговое сообщение с эксплойтом. Как только вредоносная программа будет установлена, атакующие воспользуются программными инструментами, чтобы расширить свои полномочия в системе и выполнять другие задачи: компрометировать остальные компьютеры, шпионить за пользователем и отслеживать его банковские транзакции".


Или контракт

Эксперты Eset отметили сходство данной атаки с крупным инцидентом с применением банковского трояна Anunak/Carbanak. Злоумышленники, которые стоят за "Операцией Buhtrap", используют методы, характерные для таргетированных атак, не связанных с финансовым мошенничеством.

 

Henry09.04.15 23:05
А что молчит, что нам скажет Евгений Валентинович Касперский?
Alanv09.04.15 23:48
> Henry
А что молчит, что нам скажет Евгений Валентинович Касперский?
Возможно, Касперский его автоматом отразил и просто не заметил? Бо эксплойт явно не "0-day", обычный WORD-овский (макросы у многих отключены по умолчанию), бэкдор тоже вроде как не новый и должен бы быть во всех вирусных базах... Ну и 88% - это много, но сколько атак было в абсолютных цифрах? Может штук 12?

Henry09.04.15 23:56
> Alanv
> Henry
А что молчит, что нам скажет Евгений Валентинович Касперский?
Возможно, Касперский его автоматом отразил и просто не заметил? Бо эксплойт явно не "0-day", обычный WORD-овский (макросы у многих отключены по умолчанию), бэкдор тоже вроде как не новый и должен бы быть во всех вирусных базах... Ну и 88% - это много, но сколько атак было в абсолютных цифрах? Может штук 12?

Т. Е. PR - акция дя продвижения на российский рынок?
Alanv10.04.15 00:01

"Т. Е. PR - акция дя продвижения на российский рынок?"

Может и такое... А может и компания обычного пугания "российскими страхами" - теперь совесть уже у всех на Западе потеряна... Хотя опять же, может и реальная атака проходила.

Надо будет заглянуть на сайт Лаборатории - они чего-нибудь да отпишут, если не напрямую, так в квартальных обозрениях.

kotik10.04.15 08:47
Достаточно подробно описан механизм, так что похоже на правду. Тут даже больше не вирус а планомерная атака, а это немного другое. Вирусня она однообразна и будучи выявденной антивирусом успешно прибивается. А тут комплаекс програмных мер, существуют так называемые крипторы, которые изменяют код так что антивирусник уже не реагирует. И авторы атаки, явно тестируют свои программы на антивирусах перед отправкой. Плюс в запароленый архив антивирус не залезет.
Сейчас в нашем городке, а может и по России, шифровальшики активность проявляют. Высылают так же на почту организации, бухгалтера, менеджера писмо типа "счет" или "срочно оплатить" а при открытии ставится ПО, которое шифрует все документы, за расшифровку просят баксы.
Alanv10.04.15 09:56

"Сейчас в нашем городке, а может и по России, шифровальшики активность проявляют. Высылают так же на почту организации, бухгалтера, менеджера писмо типа "счет" или "срочно оплатить" а при открытии ставится ПО, которое шифрует все документы, за расшифровку просят баксы."

- Выделяется отдельная девочка для чтения присланных по почте вложенных документов, с мощным антивирусом и минимальными правами, кроме работы с почтой. Достаточно часто выполняется инкрементное копирование куда-нить на другую машину.

- Полностью убирается возможность открытия макросов в Оффисе для читающих почту

negr10.04.15 10:10
открывать в виртуальной машине со снапшотом
timosha10.04.15 15:23
Alanv - Выделяется отдельная девочка для чтения присланных по почте вложенных документов...

.

А что потом с этой девочкой делать, когда она лишнего начитается?
kotik10.04.15 15:40
Сейчас даже вложения открывать не надо, встал на писмо, оно открылось в окне просмотра и усе. То есть скрипт уже в самом письме.
Девочка с отдельным компом, может сидеть в небольшой организации, а если у нас 1000 рабочих мест, на всех девочек не напосешся :)
Alanv10.04.15 15:44
> timosha
Alanv - Выделяется отдельная девочка для чтения присланных по почте вложенных документов...
.
А что потом с этой девочкой делать, когда она лишнего начитается?
Девочка-то сама из бухгалтерии, там всё равно все и всякие счета с накладными... А всяческие ОЧЕНЬ важные документы по электронке без своего шифрования?... - теперь таких дураков нема, да и мало таковых документов... А под шифр вирус не запихнёшь.
Главный Злодей10.04.15 15:45
А что потом с этой девочкой делать, когда она лишнего начитается? В местах, где можно начитаться лишнего, применяются специальные девочки под подпиской. Если места особо ответственные - с допусками и в погонах. А если потребуется, то даже и мальчики.

Alanv10.04.15 16:00
> kotik
Сейчас даже вложения открывать не надо, встал на писмо, оно открылось в окне просмотра и усе. То есть скрипт уже в самом письме.
Девочка с отдельным компом, может сидеть в небольшой организации, а если у нас 1000 рабочих мест, на всех девочек не напосешся :)

- Самооткрывающееся письмо - это не упоминавшийся тут ".doc", это дыра в просмотрщике (у большинства - в IE). Не пользуйтесь Outlook-ом и настраивайте просмотрщик. Ну и ставьте обновления и пользуйте антивирус...

- Это наоборот, при 1000 проще выделить и натренировать девочку, освобождая большое кол-во остальных от копания в почте. Кроме всего она фильтрует просочившийся спам, явно вирусные письма, и сама отвечает на простейшие запросы.

У меня так работает - и ни одного заразившего ЧЕРЕЗ ПОЧТУ вируса за довольно много лет. Куда сложнее с желающими на работе в инете сексуально разрядиться и поболтать где угодно :)))

timosha10.04.15 16:11
Alanv - при 1000 проще выделить и натренировать девочку, освобождая большое кол-во остальных от копания в почте. Кроме всего она фильтрует просочившийся спам, явно вирусные письма, и сама отвечает на простейшие запросы.

.

Дуру сажать на это дело неразумно, а умная быстренько начнёт монетизировать свой ресурс.
zizmo10.04.15 17:24
> Alanv
- Выделяется отдельная девочка для чтения присланных по почте вложенных документов, с мощным антивирусом и минимальными правами, кроме работы с почтой. Достаточно часто выполняется инкрементное копирование куда-нить на другую машину.
Вот именно такая девочка и запустила ехешник с названием типа "Мы подаем на вас в суд". Половину самбовой шары зашифровала ) Но, бэкапы рулят.
English
Архив
Форум

 Наши публикациивсе статьи rss

» Памяти Фывы
» Какая классовая борьба настоящая, и может ли рабочий класс быть субъектом классовой борьбы?
» Система Джемаля
» Пятница,13-е
» Прокси-война России и мира Запада: кому это выгодно экономически?
» Война на Кандалакшском направлении 1941-1944, Сборник документов с немецко-финской стороны
» Что является капиталом венчурного инвестора
» О категории «снятие» у Гегеля и в диалектическом материализме
» С Днём Победы!

 Новостивсе статьи rss

» Маск заявил о беспрецедентном росте уровня бюрократии в Пентагоне
» Россия и Иран полностью отказались от доллара при взаиморасчетах — Фарзин
» Россия передала ОЗХО документы по 30 случаям применения химоружия Украиной
» Российские военные нанесли удар по ВСУ в Житомирской области
» Великобритания нарастила поставки ракет Storm Shadow Украине
» Число преступлений с применением оружия на Украине подскочило в 42 раза — МВД
» Силы ПВО за ночь сбили 39 украинских беспилотников над семью регионами
» "Газпром" и Молдавия попробуют договориться о поставках российского газа

 Репортаживсе статьи rss

» Кризис системы охлаждения F-35: недостатки конструкции порождают для Пентагона дилемму на 2 триллиона долларов
» Так сдержать: новую Стратегию развития ВМФ подготовят в 2025 году
» Максим Решетников: «Низкоуглеродная трансформация нужна для устойчивого развития экономики»
» Михаил Ковальчук: история с утечкой мозгов из России уже давно закончилась
» Паритетное направление: чем Россия ответит на развитие ядерной триады США
» Заседание дискуссионного клуба «Валдай»
» Россия и Белоруссия отменят плату за роуминг 1 марта 2025 года
» Главный американский поставщик БПЛА для Украины столкнулся с блокировкой поставок из-за санкций

 Комментариивсе статьи rss

» Лукьянов: Публичная среда, где обмениваются сигналами РФ и НАТО, сужает пространство для договоренностей
» Генетики Пентагона нацелились на создание суперсолдат для биологической войны
» Россия делает последний шаг к полной независимости от Boeing и Airbus
» Утечки разоблачают тайный британский план по недопущению прекращения войны на Украине
» "Сбить невозможно". Что известно о ракете, которую представил Путин
» Зачем готовится адвокатская монополия в судах
» Новое оружие Пентагона. В чем риски использования роботов-пулеметов
» Призраки прошлого: в Литве продолжают бороться с коммунизмом

 Аналитикавсе статьи rss

» Дональд Трамп выиграл выборы. Чем это грозит России и ее союзникам
» Что получит ВПК России от договора о партнёрстве с Ираном?
» Разгон западного ВПК и стратегические задачи России
» Академическая мобилизация
» Как цифровизация может изменить банковский рынок
» Америка добивает Евросоюз, который утрачивает остатки экономического суверенитета
» Вердикт Марио Драги: Евросоюз – лягушка, которую медленно варит Америка
» Биологические лаборатории в Армении: Турция в опасности!
 
мобильная версия Сайт основан Натальей Лаваль в 2006 году © 2006-2024 Inca Group "War and Peace"