Russian
  • English
  • Korean
  • Техническая поддержка
  • Личный кабинет партнера
Positive Technologies
Russian
  • English
  • Korean
  • Решения
    Построение центра ГосСОПКА

    Комплексное решение для создания центра ГосСОПКА и взаимодействия с НКЦКИ

    Безопасность объектов КИИ

    Система безопасности значимых объектов КИИ в соответствии с требованиями закона № 187-ФЗ

    Комплекс для раннего выявления сложных угроз

    Комплексное решение для раннего выявления и предотвращения целевых атак.

    Посмотреть все →
  • Продукты
    MaxPatrol 8

    Контроль защищенности и соответствия стандартам

    PT MultiScanner

    Многоуровневая защита от вредоносного ПО

    MaxPatrol VM

    Система управления уязвимостями нового поколения

    PT Application Inspector

    Анализатор защищенности приложений

    PT Network Attack Discovery

    Система анализа трафика (NTA) для выявления атак

    MaxPatrol SIEM

    Выявление инцидентов ИБ в реальном времени

    PT Sandbox

    Первая песочница, которая защищает именно вашу инфраструктуру

    XSpider

    Сканер уязвимостей

    PT Platform 187

    Реализация основных требований 187-ФЗ для небольших инфраструктур

    PT ISIM

    Управление инцидентами кибербезопасности АСУ ТП

    MaxPatrol SIEM All-in-One

    Полноценный SIEM для небольших инфраструктур

    PT Application Firewall

    Защита приложений от веб-атак

    ПТ Ведомственный центр

    Управление инцидентами и взаимодействие с ГосСОПКА

    Посмотреть все →
  • Сервисы
    Непрерывный анализ защищенности бизнеса

    Услуги Positive Technologies по анализу защищенности бизнеса от киберугроз позволят непрерывно выявлять реальные векторы атак на вашу компанию и совершенствовать стратегию реагирования на инциденты

    Исследование угроз и уязвимостей аппаратных решений

    Выявление аппаратных уязвимостей и закладок – один из самых сложных элементов в реализации зрелой стратегии безопасности. Эксперты Positive Technologies готовы оказать всестороннюю помощь в этом вопросе.

    Услуги PT Expert Security Center

    Экспертный центр безопасности Positive Technologies предоставляет услуги по обнаружению, реагированию и расследованию сложных инцидентов, а также по мониторингу защищенности корпоративных систем

    Посмотреть все →
  • Исследования
    Аналитические статьи
    База знаний
    Словарь терминов ИБ
    Хакерские группировки
    PT ESC Threat Intelligence
    Блог
    Вебинары
    Уязвимости и угрозы
    Open Source
    Посмотреть все →
  • Партнеры
    Авторизованные партнеры
    Дистрибьюторы
    Технологические партнеры
    MSSP партнеры
    Стать партнером
    Вход в личный кабинет
    Посмотреть все →
  • О компании
    Клиенты
    Пресс-центр
    Новости
    Инвесторам
    Мероприятия
    Вакансии
    Контакты
    Документация и материалы
    Эксперты
    Посмотреть все →
Меню
  • Главная
  • Исследования
  • Аналитика
  • Новые атаки на банки

Новые атаки на банки

Дата публикации 24 мая 2018
  • Финансы и банки
  • Кибергруппировки/APT-report

В середине мая 2018 года специалистами экспертного центра безопасности компании Positive Technologies (PT Expert Security Center) была зафиксирована вредоносная рассылка фишинговых писем в организациях кредитно-финансового сектора. По ряду признаков можно утверждать, что атака организована группой Cobalt или ее частью1 .

Вредоносное письмо
Вредоносное письмо

Рассылка производилась с домена swift-sipn[.]info (85.143.166[.]158). Структура зарегистрированного домена идентична доменам, которые использовала группа Cobalt за все время атак на банки России и Восточной Европы.

В письме присутствует ссылка (swift-fraud[.]com (85.143.166[.]99) на скачивание вредоносного документа (d117c73e353193118a6383c30e42a95f). Такую же технику доставки использовала группа Cobalt в 2018 году. Документ содержит в себе три эксплойта для удаленного исполнения кода в Microsoft Word — CVE-2017-8570, CVE-2017-11882, CVE2018-0802. Основываясь на анализе структуры вредоносного документа, можно сказать, что он схож с документами, сгенерированными с помощью эксплойт-кита Threadkit. Этот эксплойт-кит группа Cobalt использовала с февраля 2018 года.

Помимо эксплойтов в документ встроены 4 OLE-обьекта: next stage BAT-скрипт (4bee6 ff39103ffe31118260f9b1c4884), скриплет для CVE-2017-8570 (bb784d55895db10b67b1b4f1f 5b0be16), документ-заглушка (c2a9443aac258a60d8cace43e839cf9f), конфигурационный файл для утилиты cmstp.exe (581c2a76b382deedb48d1df077e5bdf1). Все эти объекты находятся в папке %TEMP% пользователя, который запустил документ. Эти объекты создаются в %TEMP% через «Package» ActiveX Control. Формат объектов выглядит следующим образом:

Структура OLE-объекта
Структура OLE-объекта

После отработки любого из эксплойтов будет запущен next stage BAT-скрипт.

Next stage BAT-скрипт
Next stage BAT-скрипт

Интересно, что итогом выполнения данного скрипта является запуск утилиты cmstp. exe, которая скачивает COM-DLL-Dropper (f0e52df398b938bf82d9e71ce754ab34) с домена cloud.yourdocument[.]biz (31.148.219[.]177).

Использование этой стандартной для Windows утилиты позволяет обходить AppLocker, загружать и исполнять SCT- или COM-объекты с помощью стандартной для Windows утилиты regsvr32.exe. Такой способ обхода AppLocker был найден и описан в этом году

Утилита cmstp.exe использует конфигурационный файл, который также является OLE-объектом в исходном документе.

Конфигурационный файл для cmstp.exe
Конфигурационный файл для cmstp.exe

Основной целью скачанного COM-DLL-Dropper является закрепление в системе JavaScript-загрузчика, скачивающего JavaScript-бэкдор. Но перед тем как начать выполнять основные функции, COM-DLL-Dropper проверяет свой процесс на наличие в названии расширения .txt.

Сначала генерируются два случайных значения, которые сохраняются в ключе реестрa HKEY_CURRENT_USER\Software\Microsoft\ Notepad\[username].

Измененный ключ реестра
Измененный ключ реестра

Значения ключа используются для имен модулей ВПО: одно для JavaScript-загрузчика, который создается из тела COM-DLL-Dropper, второе для JavaScript-бэкдора.

После генерации значений осуществляется закрепление в системе через логон-скрипт.

Закрепление в системе
Закрепление в системе

После закрепления в системе происходит расшифровка и создание на диске JavaScriptзагрузчика (C:\Users\\AppData\Roaming\.txt) из тела dll. JavaScript-загрузчик зашифрован алгоритмом AES256-CBC. На завершающем этапе происходят запуск JavaScript-загрузчика и удаление dll.

Стоит заметить, что в данном случае используется такая же схема доставки JavaScript-загрузчика, как и летом 2017 года: там также использовался AES256-CBC для его расшифровки.

Доставка JavaScript-загрузчика в 2017 году
Доставка JavaScript-загрузчика в 2017 году

Более подробную информацию об атаках 2017 года можно получить из вебинара: ptsecurity.com/ru-ru/research/webinar/291295/.

JavaScript-загрузчик обфусцирован и зашифрован алгоритмом RC4. Саморасшифровка происходит при запуске загрузчика.

Основная функция загрузчика
Основная функция загрузчика

Сам по себе загрузчик отличается от версии 2017 года только лишь названиями некоторых функций и переменных. Загрузчик «висит» в цикле While True и пытается скачать JavaScript-бэкдор с контрольного сервера nl.web-cdn[.]kz (185.162.130[.]155) и запустить через утилиту regsvr32.exe. Название для бэкдора берется из реестра.

JavaScript-бэкдор также обфусцирован и зашифрован алгоритмом RC4. Его саморасшифровка происходит при запуске.

Настройка для JavaScript-бэкдора
Настройка для JavaScript-бэкдора

Как и в версии 2017 года, JavaScript-бэкдор имеет множество функций:

  • разведка через WMI;
  • запуск программ через CMD;
  • загрузка новых модулей через regsvr32.exe;
  • самообновление;
  • самоудаление;
  • поиск антивирусов в системе;
  • шифрование трафика с помощью RC4.

К функциям бэкдора добавилась проверка наличия его в %APPDATA% по ключу реестра, упомянутому выше. Если нет ключа реестра или бэкдор не обнаруживается в %APPDATA% — он не исполнится.

Рекомендации

Киберпреступники все чаще используют методы социальной инженерии для проникновения в инфраструктуру организации при целевой атаке. Практика Positive Technologies в области расследования инцидентов и анализа защищенности корпоративных информационных систем показывает, что самым уязвимым местом является человек: по статистике, в 27% случаев получатели сообщения с фишинговой ссылкой переходят по ней, нередко сотрудники компаний вступают в дальнейшую переписку со злоумышленником (и в 3% случаев это оказываются специалисты по безопасности). При этом если сообщение приходит от имени реальной компании (чем и известна группировка Cobalt), вероятность успеха взломщиков возрастает до 33%.

Таким образом, сегодня как никогда возрастает значимость обучения сотрудников основам информационной безопасности, а ключевыми рекомендациями в данном контексте остаются:

  • регулярное проведение работ по повышению осведомленности сотрудников компании в вопросах ИБ;
  • своевременная установка обновлений безопасности, в том числе и для прикладного ПО;
  • использование современных средств защиты, в том числе систем выявления вредоносного ПО, куда сотрудники могли бы в любой момент загрузить на проверку почтовое вложение или любой другой файл;
  • полноценное расследование уже произошедших инцидентов.

1 В марте 2018 года в Европе был арестован предполагаемый лидер данной группировки.

Скачать PDF
Скачать PDF
Статьи по теме
  • 5 декабря 2019 АРТ-атаки на госучреждения в России: обзор тактик и техник 2019
  • 5 июня 2018 Векторы хакерских атак на банки
  • 18 ноября 2019 APT-атаки на промышленные компании в России: обзор тактик и техник
Поделиться:
Ссылка скопирована
Статьи по теме
13 мая 2019

Operation TaskMasters: Кибершпионаж в эпоху цифровой экономики

14 ноября 2018

Сценарии логических атак на банкоматы, 2018

5 апреля 2019

Уязвимости онлайн-банков: подводим итоги анализа

Вернуться к выбору статей
Решения
  • Построение центра ГосСОПКА
  • Комплекс для раннего выявления сложных угроз
  • Безопасность объектов КИИ
Продукты
  • MaxPatrol 8
  • MaxPatrol SIEM
  • PT ISIM
  • PT MultiScanner
  • PT Sandbox
  • MaxPatrol SIEM All-in-One
  • MaxPatrol VM
  • XSpider
  • PT Application Firewall
  • PT Application Inspector
  • PT Platform 187
  • ПТ Ведомственный центр
  • PT Network Attack Discovery
Сервисы
  • Непрерывный анализ защищенности бизнеса
  • Услуги PT Expert Security Center
  • Исследование угроз и уязвимостей аппаратных решений
Исследования
  • Аналитические статьи
  • База знаний
  • Словарь терминов ИБ
  • Хакерские группировки
  • PT ESC Threat Intelligence
  • Блог
  • Вебинары
  • Уязвимости и угрозы
  • Open Source
Партнеры
  • Авторизованные партнеры
  • Дистрибьюторы
  • Технологические партнеры
  • MSSP партнеры
  • Стать партнером
  • Вход в личный кабинет
О компании
  • Клиенты
  • Пресс-центр
  • Новости
  • Инвесторам
  • Мероприятия
  • Вакансии
  • Контакты
  • Документация и материалы
  • Эксперты
Positive Technologies
Copyright © 2002-2021 Positive Technologies
Мы в социальных сетях:
  • Правила использования
  • Политика конфиденциальности
  • Политика использования файлов cookie
  • Информация в ленте Интерфакс
  • Карта сайта
Copyright © 2002-2021 Positive Technologies
  • Правила использования
  • Политика конфиденциальности
  • Политика использования файлов cookie
  • Информация в ленте Интерфакс
  • Карта сайта