Отчеты о целевых атаках (APT)

Увеличивается количество APT-ограблений банков с использованием атак Metel, GCMAN и Carbanak 2.0

asp_full

Введение

В конце 2014 года исследователи Лаборатории Касперского предостерегали: киберпреступники, целью которых являются финансовые операции, для ограбления банков будут использовать сложные тактики и технологии, характерные для атак серии APT.

Всего лишь несколько месяцев спустя в феврале 2015 мы объявили об обнаружении Carbanak ― криминальной группировки, которая использовала вредоносное ПО и APT-техники, чтобы украсть миллионы долларов, заразив при этом сотни финансовых организаций по меньшей мере в 30 странах.

С тех пор мы наблюдаем увеличение количества скрытых APT-атак, сочетающих использование разведки, социальной инженерии, специализированного вредоносного ПО, средств распространения и долгосрочного планирования кражи денег из финансовых организаций (в особенности, из банкоматов и систем денежных переводов).

На Security Analyst Summit (SAS 2016) «Лаборатория Касперского» объявила об обнаружении двух новых группировок, связанных с APT-ограблениями банков: Metel и GCMAN, ― и о возобновлении деятельности группировки Carbanak с новыми целями.

В 2015 году сотрудники «Лаборатории Касперского» провели расследование инцидентов в 29 организациях, расположенных в России и атакованных этими тремя группировками.

Так как правоохранительные органы продолжают расследования и в связи с соглашениями о неразглашении с пострадавшими организациями, «Лаборатория Касперского» не может предоставить подробные сведения об атаках. «Лаборатория Касперского» публикует ключевые индикаторы компрометации (IOCs) и другие данные, чтобы помочь организациям в поиске следов этих атакующих групп в своих корпоративных сетях (см. ниже).

Metel ― откат баланса при помощи банкоматов

Летом 2015 российский банк обнаружил пропажу миллионов рублей, произошедшую за одну ночь в результате серии странных финансовых операций. Клиенты банка осуществляли снятие денег через банкоматы, принадлежащие другим банкам, и имели возможность снять огромные суммы денег, но при этом баланс их счета не менялся. Пострадавший банк ни о чем не догадывался до тех пор, пока не стал компенсировать снятие денег через банкоматы других банков.

При проведении расследования мы выяснили, в чем дело ― Metel, модульная вредоносная программа, так же известная как Corkow.

Вредоносное ПО, используемое исключительно группировкой Metel, заражало банковскую корпоративную сеть через электронные письма и распространялась по банковской ИТ-системе, получая доступ к компьютерам.

Получив доступ к системе, управляющей денежными транзакциями, преступники настраивали автоматический откат транзакций, совершаемых через банкоматы. Это означает, что деньги могли быть украдены из банкоматов посредством дебетовых карт, и при этом баланс счета карты оставался неизменным, позволяя совершать несколько транзакций в разных банкоматах.

Увеличивается количество APT-ограблений банков с использованием атак Metel, GCMAN и Carbanak 2.0

Зашифрованный конфигурационный файл вредоносных плагинов Metel

Увеличивается количество APT-ограблений банков с использованием атак Metel, GCMAN и Carbanak 2.0

В ходе расследование мы выяснили, что злоумышленники разъезжали по городам России, снимая деньги через банкоматы, принадлежащие разным банкам. Вследствие выполнения автоматического отката, деньги мгновенно возвращались на счет сразу же после снятия наличных в банкомате. Группировка работала только по ночам, опустошая банкоматы в разных местах.

В целом мы обнаружили Metel в более, чем 30 финансовых организациях, но сотрудники «Лаборатории Касперского» смогли очистить сети до того, как был причинен серьезный ущерб. С большой вероятностью можно утверждать, что эта угроза намного более распространена, и мы настоятельно советуем финансовым организациям по всему миру просканировать сети на наличие признаков вредоносного ПО Metel.

Преступная группировка Metel все еще активна. В настоящий момент у нас нет информации о жертвах за пределами России.

Увеличивается количество APT-ограблений банков с использованием атак Metel, GCMAN и Carbanak 2.0

GCMAN ― во всем виноваты средства тестирования системы на вторжения

Вторая группировка, которую мы называем GCMAN из-за того, что в основе вредоносного ПО лежит код, скомпилированный при помощи компилятора GCC, появилась недавно и использует похожие на Metel техники для заражения банковских организаций и перевода денег на сервисы криптовалют.

Первоначальное заражение выполняется посредством целевого фишинга финансовых организаций через электронные письма, содержащие вредоносный RAR-архив. При открытии RAR-архива вместо документа Microsoft Word запускается исполняемый файл, что вызывает заражение.

inf_cgman_RU

Попав в сеть, группировка GCMAN использует легальные технологии и средства для тестирования системы на проникновение, такие как Putty, VNC и Meterpreter, чтобы распространить заражение по сети. Наше расследование выявило атаку, при которой группа внедрила на банковский сервер cron-скрипт, отправляющий финансовые транзакции в размере 200$ в минуту. Планировщик каждую минуту вызывал скрипт, помещающий новые транзакции прямо в систему обработки платежей. Это позволяло группировке переводить деньги на разные сервисы криптовалют без оповещения других систем банка.

Увеличивается количество APT-ограблений банков с использованием атак Metel, GCMAN и Carbanak 2.0

Декомпилированный код вредоносного ПО группировки GCMAN, осуществляющий подключение к серверу управления

По счастливой случайности финансовые организации вовремя обнаружили подозрительную активность сети, нейтрализовали угрозу и отменили транзакции.

Интересным является тот факт, что реальная атака произошла примерно на 18 месяцев раньше, чем она была обнаружена. Группировка использовала MS SQL инъекции в коммерческое ПО, использовавшееся на одном из публичных веб-сервисов банка, и спустя полтора года они вернулись, чтобы украсть деньги. В этот период времени было заражено 70 внутренних хостов, скомпрометировано 56 учетных записей с использованием 139 источников атак (TOR и скомпрометированные домашние маршрутизаторы).

Мы обнаружили, что примерно за 2 месяца до инцидента кто-то пытался подобрать пароль для учетной записи администратора банковского сервера. Они действовали очень настойчиво, но, чтобы остаться незамеченными, только три раза в неделю, а затем только по субботам.

Исследовательская команда Лаборатории Касперского ответила трем финансовым организациям в России, которые были заражены вредоносным ПО GCMAN. Вероятно, эта угроза намного более распространена, и мы настоятельно советуем банкам проверить сети на наличие признаков этой киберпреступной группировки.

Carbanak 2.0: новые цели помимо банков

После того, как мы раскрыли группировку Carbanak ровно год назад, она исчезла примерно на 5 месяцев, и мы думали, что группа распалась. Однако в сентябре прошлого года наши друзья из CSIS опубликовали запись в блоге, в которой подробно описывается новая разновидность атаки Carbanak, которой подвергся один из их покупателей.

В декабре 2015 мы подтвердили, что группировка все еще активна. «Лаборатория Касперского» обнаружила признаки Carbanak в двух случаях вторжения ― в телекоммуникационной компании и в финансовой организации.

Увеличивается количество APT-ограблений банков с использованием атак Metel, GCMAN и Carbanak 2.0

Исполняемые файлы, обнаруженные в системе мониторинга вторжений в ходе расследования инцидента с Carbanak

Интересной особенностью группировки Carbanak 2.0 является то, что у них другой профиль жертв. Группа больше не интересуется банками, теперь их цели ― это бюджетные и бухгалтерские отделы любой интересующей их организации, при этом они используют те же средства и техники, характерные для APT-атак.

inf_Carbanak2_RU

В одном примечательном деле злоумышленник Carbanak 2.0 использовал доступ к финансовой организации, в которой хранилась информация о держателях акций, чтобы изменить данные о владельцах большой компании. Информация о владельце компании была изменена на данные «дропа». Не понятно, как они хотели воспользоваться этой информацией в дальнейшем.

Продукты Лаборатории Касперского успешно детектируют и блокируют вредоносное ПО, используемое группировками Carbanak 2.0, Metel и GCMAN, под следующими именами:

  • Trojan-Dropper.Win32.Metel
  • Backdoor.Win32.Metel
  • Trojan-Banker.Win32.Metel
  • Backdoor.Win32.GCMan
  • Backdoor.Win64.GCMan
  • Trojan-Downloader.Win32.GCMan
  • Trojan-Downloader.Win32.Carbanak
  • Backdoor.Win32.Carbanak

Лаборатория Касперского настоятельно рекомендует всем организациям внимательно просканировать свои сети на предмет присутствия Carbanak, Metel и GCMAN и, в случае обнаружения, очистить системы/компьютеры/сети и сообщить о вторжении органам правопорядка.

Вся информация доступна для клиентов службы аналитических отчетов, они также получат индикаторы компрометации и контекстную информацию сразу же, как они станут доступными.

Файлы IOC доступны здесь:
Metel
GCMAN
Carbanak 2.0

Увеличивается количество APT-ограблений банков с использованием атак Metel, GCMAN и Carbanak 2.0

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

  1. Евгений

    Здравствуйте.
    Можно ли получить образцы вредоносного ПО?

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике