Carbanak вернулись и отжигают – хотя вся верхушка в СИЗО

Опубликовано at 15:16
177 0

Печально известная (а для кого-то культовая) хакерская группировка Carbanak (она же Fin7, она же Cobalt) возобновила деятельность и добавила в свой арсенал абсолютно новое вредоносное ПО и инструменты администрирования. И это несмотря на то, что в прошлом году американские спецслужбы арестовали всех руководителей банды, действовавших под прикрытием на первый взгляд легитимной компании Combi Security.

Борьба с этой группировкой похожа на отсечение голов гидре – оставшиеся участники Carbanak по-прежнему сохраняют активность и продолжают совершенствовать свои инструменты и методы атак. Чаще всего они используют фишинг. Причем, согласно отчету компании Flashpoint, описывающему подробности недавних кампаний Carbanak, одно из фишинговых писем содержало ранее нигде не встречавшееся вредоносное ПО, получившее название SQLRat.

Этот троян способен загружать и исполнять SQL скрипты на зараженных системах. При этом он не оставляет артефакты, как обычное вредоносное ПО, поэтому отследить и проанализировать его довольно сложно. Скрипт подключается к контролируемой Carbanak базе данных Microsoft и исполняет контент различных таблиц, в том числе записывает на диск загрузчик Tinymet Meterpreter.

Другое обновление в арсенале Carbanak – бэкдор DNSbot, который использует DNS-трафик для передачи команд и данных с инфицированной системы. Программа также может переключаться между зашифрованными каналами (включая HTTPS и SSL).

Еще одна обновка у группировки: написанная на PHP панель управления скриптами под названием Astra, используемая для отправки вредоносного кода на скомпрометированные компьютеры.

АКБ напоминает, что первая в 2018 году масштабная хакерская атака Carbanak на российский банк была проведена через ПО Банка России. В результате инцидента ПИР-банк лишился более 58 миллионов рублей.

По данным СМИ, хакеры вывели деньги с корреспондентского счета ПИР-банка в Центробанке, после того, как получили доступ к автоматизированному рабочему месту клиента Банка России (АРМ КБР) — специализированному ПО-админке, устанавливаемой на отдельный компьютер. АРМ КБР и ранее становились мишенью хакеров, но ранее Центробанк заверял, что успешных атак на ПО больше не будет.

По словам представителей пострадавшего банка, похищенные средства были выведены на пластиковые карты физлиц в 22 крупнейших российских банках и обналичены в разных регионах страны. До этого Carbanak похитили более миллиарда евро у 100 финансовых учреждений из 40 стран мира.

Подписываемся, следим @CyberAgency

Related Post

Наркоторговцы уходят из Tor в I2P

Опубликовано - 31.05.2019 0
Преступники из даркнета, наркоторговцы, продавцы оружия, фальшивых документов и чужих кредиток (нередко в одном лице) – вот, кто находится в…

Добавить комментарий