Отчеты о целевых атаках (APT)

BlackEnergy 2 — и швец, и жнец…

Эксперт из SecureWorks Джо Стюарт (Joe Stewart) продолжает регистрировать атаки обновленного троянца BlackEnergy , который научился воровать пользовательские данные в процессе аутентификации в системе онлайн-банкинга.

По утверждению Стюарта, BlackEnergy 2, как он его называет, создан на базе троянца BlackEnergy (Backdoor.Win32.Kbot), который применялся злоумышленниками для проведения DDoS-атак. Однако первоначальный код был основательно переиначен; новая версия имеет модульную архитектуру, использует шифрование и современные руткит-технологии. Базовый комплект плагинов, загружаемых ботом, включает три модуля, совокупно обеспечивающих ddos-функционал, которым обладал еще первый вариант BlackEnergy. В дикой природе замечены также добавочный модуль для рассылки спама — перекомпилированная версия спамбота Grum, а также пара плагинов для облегчения доступа к банковским счетам. Однако любой злоумышленник, владеющий навыками работы с API, может расширить функционал BlackEnergy 2 по своему усмотрению.

Один из плагинов, предназначенных для кражи финансовой информации, ориентирован на обход Java-приложения, используемого многими банками для аутентификации клиентов. Внедряясь в процессы режима пользователя на зараженной машине, он ворует приватный ключ, считываемый сертифицированным Java-апплетом со съемного носителя, и контрольную фразу, вводимую пользователем в диалоговое окно. Похищенные данные, включая URL банка, отсылаются на управляющий сервер ботнета.

Второй плагин из этой упряжки выполняет команду kill — переписывает все разделы жестких дисков на зараженном компьютере, пытается удалить файлы ntldr и boot.ini, а затем завершает работу Windows. По-видимому, данный функционал используется для того, чтобы законный владелец счета не смог отследить движение денежных средств и уведомить банк о незаконных транзакциях. С той же целью BlackEnergy 2 проводит DDoS-атаку на соответствующий банк после того, как взломал его систему аутентификации.

По словам Стюарта, с конца прошлого года он зафиксировал более десятка атак на финансовые организации с применением BlackEnergy 2. В качестве мишеней зловред выбирает, в основном, банки России и Украины, так как в них часто используется вышеописанная система аутентификации. Насколько известно, новый троянец устанавливается на машины пользователей участниками партнерских программ «pay-per-install», хотя нельзя исключить возможность его распространения через вредоносные письма или drive-by загрузки.

BlackEnergy 2 — и швец, и жнец…

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

Таргетированная атака на промышленные предприятия и государственные учреждения

Эксперты Kaspersky ICS CERT выявили волну атак на предприятия и государственные учреждения нескольких стран Восточной Европы и Афганистана. В ходе исследования выявлено вредоносное ПО, ранее использованное в атаках, которые другие исследователи отнесли к APT TA428.

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике