Регистрация / Вход
мобильная версия
ВОЙНА и МИР

 Сюжет дня

Турция разорвала отношения с Израилем
Минобороны сделало представление Израилю после удара около авиабазы в Сирии
Рябков заявил об угрозе разрыва дипотношений с США при конфискации замороженных активов
Путин назвал принципы нового мироустройства
Главная страница » Новости » Просмотр
Версия для печати
Раскрыта масштабная кибератака на российские банки
09.04.15 22:26 Армия, ВПК, спецслужбы

Компания Eset раскрыла масштабную кибератаку "Операция Buhtrap", нацеленную на российский бизнес — в частности, банковский сектор. Операция длилась как минимум год, и большинство заражений пришлось на пользователей из России (88%).

Атакующие устанавливали вредоносное ПО на компьютеры, использующие в Windows русский язык по умолчанию. Источником заражения был документ Word с эксплойтом CVE-2012-0158, который рассылался в приложении к письму. Один из обнаруженных образцов вредоносного документа имитировал счет за оказание услуг (файл под названием "Счет № 522375-ФЛОРЛ-14-115.doc"), второй – контракт мобильного оператора "Мегафон" ("kontrakt87.doc").

Когда пользователь открывает вредоносный документ, на ПК устанавливается загрузчик. Программа проверяет некоторые параметры Windows, после чего скачивает с удаленного сервера архив 7z с вредоносными модулями. В некоторых случаях, чтобы обойти автоматические системы анализа и виртуальные машины, загрузчик устанавливал на ПК безвредный архив с панелью Windows Live Toolbar.

Вредоносные модули представляют собой самораспаковывающиеся архивы формата 7z, защищенные паролем. Многие модули подписаны действительными цифровыми сертификатами, которые были отозваны после обращения специалистов Eset. Эксперты компании обнаружили четыре сертификата, выданные юридическим лицам, зарегистрированным в Москве.

Чтобы установить контроль над зараженным ПК, в "Операции Buhtrap" используются программы с исполняемыми файлами mimi.exe и xtm.exe. Они позволяют получить или восстановить пароль от Windows, создать новый аккаунт в операционной системе, включить сервис RDP (Remote Desktop Protocol). Далее с помощью исполняемого файла impack.exe осуществляется установка бэкдора LiteManage, который позволяет атакующим удаленно управлять системой.

География распространения вирусов Buhtrap

После этого на ПК загружается банковское шпионское ПО с названием исполняемого файла pn_pack.exe. Программа специализируется на краже данных и взаимодействии с удаленным командным сервером. Ее запуск выполняется с использованием известного продукта Yandex Punto. Шпионское ПО может отслеживать и передавать на удаленный сервер нажатие клавиш (кейлоггер) и содержимое буфера обмена, а также перечислять смарт-карты, присутствующие в системе.


Фишинговый документ представлял собой счет

"Схема заражения выглядит следующим образом, – объяснил Жан-Йен Бутен (Jean-Ian Boutin), вирусный аналитик Eset. – Злоумышленники компрометируют один ПК компании, отправив сотруднику фишинговое сообщение с эксплойтом. Как только вредоносная программа будет установлена, атакующие воспользуются программными инструментами, чтобы расширить свои полномочия в системе и выполнять другие задачи: компрометировать остальные компьютеры, шпионить за пользователем и отслеживать его банковские транзакции".


Или контракт

Эксперты Eset отметили сходство данной атаки с крупным инцидентом с применением банковского трояна Anunak/Carbanak. Злоумышленники, которые стоят за "Операцией Buhtrap", используют методы, характерные для таргетированных атак, не связанных с финансовым мошенничеством.

 

Henry09.04.15 23:05
А что молчит, что нам скажет Евгений Валентинович Касперский?
Alanv09.04.15 23:48
> Henry
А что молчит, что нам скажет Евгений Валентинович Касперский?
Возможно, Касперский его автоматом отразил и просто не заметил? Бо эксплойт явно не "0-day", обычный WORD-овский (макросы у многих отключены по умолчанию), бэкдор тоже вроде как не новый и должен бы быть во всех вирусных базах... Ну и 88% - это много, но сколько атак было в абсолютных цифрах? Может штук 12?

Henry09.04.15 23:56
> Alanv
> Henry
А что молчит, что нам скажет Евгений Валентинович Касперский?
Возможно, Касперский его автоматом отразил и просто не заметил? Бо эксплойт явно не "0-day", обычный WORD-овский (макросы у многих отключены по умолчанию), бэкдор тоже вроде как не новый и должен бы быть во всех вирусных базах... Ну и 88% - это много, но сколько атак было в абсолютных цифрах? Может штук 12?

Т. Е. PR - акция дя продвижения на российский рынок?
Alanv10.04.15 00:01

"Т. Е. PR - акция дя продвижения на российский рынок?"

Может и такое... А может и компания обычного пугания "российскими страхами" - теперь совесть уже у всех на Западе потеряна... Хотя опять же, может и реальная атака проходила.

Надо будет заглянуть на сайт Лаборатории - они чего-нибудь да отпишут, если не напрямую, так в квартальных обозрениях.

kotik10.04.15 08:47
Достаточно подробно описан механизм, так что похоже на правду. Тут даже больше не вирус а планомерная атака, а это немного другое. Вирусня она однообразна и будучи выявденной антивирусом успешно прибивается. А тут комплаекс програмных мер, существуют так называемые крипторы, которые изменяют код так что антивирусник уже не реагирует. И авторы атаки, явно тестируют свои программы на антивирусах перед отправкой. Плюс в запароленый архив антивирус не залезет.
Сейчас в нашем городке, а может и по России, шифровальшики активность проявляют. Высылают так же на почту организации, бухгалтера, менеджера писмо типа "счет" или "срочно оплатить" а при открытии ставится ПО, которое шифрует все документы, за расшифровку просят баксы.
Alanv10.04.15 09:56

"Сейчас в нашем городке, а может и по России, шифровальшики активность проявляют. Высылают так же на почту организации, бухгалтера, менеджера писмо типа "счет" или "срочно оплатить" а при открытии ставится ПО, которое шифрует все документы, за расшифровку просят баксы."

- Выделяется отдельная девочка для чтения присланных по почте вложенных документов, с мощным антивирусом и минимальными правами, кроме работы с почтой. Достаточно часто выполняется инкрементное копирование куда-нить на другую машину.

- Полностью убирается возможность открытия макросов в Оффисе для читающих почту

negr10.04.15 10:10
открывать в виртуальной машине со снапшотом
timosha10.04.15 15:23
Alanv - Выделяется отдельная девочка для чтения присланных по почте вложенных документов...

.

А что потом с этой девочкой делать, когда она лишнего начитается?
kotik10.04.15 15:40
Сейчас даже вложения открывать не надо, встал на писмо, оно открылось в окне просмотра и усе. То есть скрипт уже в самом письме.
Девочка с отдельным компом, может сидеть в небольшой организации, а если у нас 1000 рабочих мест, на всех девочек не напосешся :)
Alanv10.04.15 15:44
> timosha
Alanv - Выделяется отдельная девочка для чтения присланных по почте вложенных документов...
.
А что потом с этой девочкой делать, когда она лишнего начитается?
Девочка-то сама из бухгалтерии, там всё равно все и всякие счета с накладными... А всяческие ОЧЕНЬ важные документы по электронке без своего шифрования?... - теперь таких дураков нема, да и мало таковых документов... А под шифр вирус не запихнёшь.
Главный Злодей10.04.15 15:45
А что потом с этой девочкой делать, когда она лишнего начитается? В местах, где можно начитаться лишнего, применяются специальные девочки под подпиской. Если места особо ответственные - с допусками и в погонах. А если потребуется, то даже и мальчики.

Alanv10.04.15 16:00
> kotik
Сейчас даже вложения открывать не надо, встал на писмо, оно открылось в окне просмотра и усе. То есть скрипт уже в самом письме.
Девочка с отдельным компом, может сидеть в небольшой организации, а если у нас 1000 рабочих мест, на всех девочек не напосешся :)

- Самооткрывающееся письмо - это не упоминавшийся тут ".doc", это дыра в просмотрщике (у большинства - в IE). Не пользуйтесь Outlook-ом и настраивайте просмотрщик. Ну и ставьте обновления и пользуйте антивирус...

- Это наоборот, при 1000 проще выделить и натренировать девочку, освобождая большое кол-во остальных от копания в почте. Кроме всего она фильтрует просочившийся спам, явно вирусные письма, и сама отвечает на простейшие запросы.

У меня так работает - и ни одного заразившего ЧЕРЕЗ ПОЧТУ вируса за довольно много лет. Куда сложнее с желающими на работе в инете сексуально разрядиться и поболтать где угодно :)))

timosha10.04.15 16:11
Alanv - при 1000 проще выделить и натренировать девочку, освобождая большое кол-во остальных от копания в почте. Кроме всего она фильтрует просочившийся спам, явно вирусные письма, и сама отвечает на простейшие запросы.

.

Дуру сажать на это дело неразумно, а умная быстренько начнёт монетизировать свой ресурс.
zizmo10.04.15 17:24
> Alanv
- Выделяется отдельная девочка для чтения присланных по почте вложенных документов, с мощным антивирусом и минимальными правами, кроме работы с почтой. Достаточно часто выполняется инкрементное копирование куда-нить на другую машину.
Вот именно такая девочка и запустила ехешник с названием типа "Мы подаем на вас в суд". Половину самбовой шары зашифровала ) Но, бэкапы рулят.
English
Архив
Форум

 Наши публикациивсе статьи rss

» Памяти Фывы
» Какая классовая борьба настоящая, и может ли рабочий класс быть субъектом классовой борьбы?
» Система Джемаля
» Пятница,13-е
» Прокси-война России и мира Запада: кому это выгодно экономически?
» Война на Кандалакшском направлении 1941-1944, Сборник документов с немецко-финской стороны
» Что является капиталом венчурного инвестора
» О категории «снятие» у Гегеля и в диалектическом материализме
» С Днём Победы!

 Новостивсе статьи rss

» Российские войска закрепляются на окраинах Купянска
» Россия выделит 4816 бюджетных мест в вузах для студентов из Африки
» Новый посол США в ООН не поддержала прежнюю позицию об Украине в НАТО
» Республиканская партия официально получила контроль над палатой представителей
» Прокуратура Парижа требует приговорить Ле Пен к пяти годам лишения свободы — BFMTV
» Боррель заявил, что ЕС продолжит помогать Украине и без США
» OMV получила решение арбитража с Газпромом на 230 млн евро в свою пользу
» В бундестаг внесли ходатайство о запрете партии АдГ

 Репортаживсе статьи rss

» Максим Решетников: «Низкоуглеродная трансформация нужна для устойчивого развития экономики»
» Михаил Ковальчук: история с утечкой мозгов из России уже давно закончилась
» Паритетное направление: чем Россия ответит на развитие ядерной триады США
» Заседание дискуссионного клуба «Валдай»
» Россия и Белоруссия отменят плату за роуминг 1 марта 2025 года
» Главный американский поставщик БПЛА для Украины столкнулся с блокировкой поставок из-за санкций
» Рассекречен архив о легендарном советском разведчике Кузнецове
» ФСБ рассекретила новые подробности Волынской резни

 Комментариивсе статьи rss

» Что известно о планах переподчинить ФРС президенту США
» На авиасалоне AirShow China 2024 хозяева доминируют
» Триумф Су-57, ЗРК «Витязь» и Ка-52Э в Чжухае: на что рассчитывать заказчикам?
» Кто и зачем вернул Дональда Трампа
» Санкции, взрастившие дракона. Как Китай захватывает мировые рынки
» WSJ: Остин отказал Зеленскому в приоритетной поставке новых систем ATACMS
» Нимайер: когда рухнула Берлинская стена, никто не думал про завтрашний день
» В России экстренно повышают зарплаты электронщикам и DevOps, лишь бы кто-то пришел работать

 Аналитикавсе статьи rss

» Дональд Трамп выиграл выборы. Чем это грозит России и ее союзникам
» Что получит ВПК России от договора о партнёрстве с Ираном?
» Разгон западного ВПК и стратегические задачи России
» Академическая мобилизация
» Как цифровизация может изменить банковский рынок
» Америка добивает Евросоюз, который утрачивает остатки экономического суверенитета
» Вердикт Марио Драги: Евросоюз – лягушка, которую медленно варит Америка
» Биологические лаборатории в Армении: Турция в опасности!
 
мобильная версия Сайт основан Натальей Лаваль в 2006 году © 2006-2024 Inca Group "War and Peace"