Эксперты обнаружили, что исходники Carbanak два года ждали их на VirusTotal

Опубликовано at 15:53
68 0

Аналитики компании FireEye внезапно обнаружили, что исходники скандально известной малвари Carbanak, похитившей миллиарды долларов, уже давно были загружены на VirusTotal. Теперь эксперты опубликовали результаты своего анализа, причем это целая серия статей, состоящая из четырех отдельных публикаций.

Опасный вредонос, найденный специалистами, принадлежал известной хак-группе FIN7 (она же известна, как, собственно, Carbanak, Anunak и Cobalt Group). По информации Министерства юстиции США, только с 2015 года группа FIN7 атаковала более 100 компаний и организаций на территории США, взломав тысячи различных систем. Только в США хакеры похитили свыше 15 000 000 платежных карт, скомпрометировав более 6500 PoS-терминалов. Группировка также действовала и в других странах, включая Великобританию, Австралию, Францию.

Эксперты FireEye рассказывают, что обнаружили на VirusTotal два архива RAR (kb3r1p и apwmie) с исходными кодами Carbanak, билдерами и другими инструментами группы. Оба файла были загружены с российских IP-адресов. Согласно отчету, исходники «весят» более 20 Мб и насчитывают свыше 100 000 строк кода.

«Иметь на руках исходники, это как иметь чит-код для анализа малвари. Конечно же, исходный код содержит много информации, которая обычно теряется по время компиляции и линковки», – FireEye.

Исследователи потратили на изучение своей находки долгие месяцы, в том числе и потому, что уперлись в языковой барьер. Дело в том, что исходники содержали русский язык в огромных количествах, и аналитикам не сразу удалось даже подобрать верную кодировку, а затем пришлось составить небольшой словарь для упрощения работы.

АКБ напоминает, что печально известная (а для кого-то культовая) хакерская группировка Carbanak (она же Fin7, она же Cobalt) в 2019 году возобновила деятельность и добавила в свой арсенал абсолютно новое вредоносное ПО и инструменты администрирования. И это несмотря на то, что в прошлом году американские спецслужбы арестовали всех руководителей банды, действовавших под прикрытием на первый взгляд легитимной компании Combi Security.

Борьба с этой группировкой похожа на отсечение голов гидре – оставшиеся участники Carbanak по-прежнему сохраняют активность и продолжают совершенствовать свои инструменты и методы атак. Чаще всего они используют фишинг. Причем, согласно отчету компании Flashpoint, описывающему подробности недавних кампаний Carbanak, одно из фишинговых писем содержало ранее нигде не встречавшееся вредоносное ПО, получившее название SQLRat.

Этот троян способен загружать и исполнять SQL скрипты на зараженных системах. При этом он не оставляет артефакты, как обычное вредоносное ПО, поэтому отследить и проанализировать его довольно сложно. Скрипт подключается к контролируемой Carbanak базе данных Microsoft и исполняет контент различных таблиц, в том числе записывает на диск загрузчик Tinymet Meterpreter.

Другое обновление в арсенале Carbanak – бэкдор DNSbot, который использует DNS-трафик для передачи команд и данных с инфицированной системы. Программа также может переключаться между зашифрованными каналами (включая HTTPS и SSL).

Еще одна обновка у группировки: написанная на PHP панель управления скриптами под названием Astra, используемая для отправки вредоносного кода на скомпрометированные компьютеры.

АКБ напоминает, что первая в 2018 году масштабная хакерская атака Carbanak на российский банк была проведена через ПО Банка России. В результате инцидента ПИР-банк лишился более 58 миллионов рублей.

По данным СМИ, хакеры вывели деньги с корреспондентского счета ПИР-банка в Центробанке, после того, как получили доступ к автоматизированному рабочему месту клиента Банка России (АРМ КБР) — специализированному ПО-админке, устанавливаемой на отдельный компьютер. АРМ КБР и ранее становились мишенью хакеров, но ранее Центробанк заверял, что успешных атак на ПО больше не будет.

По словам представителей пострадавшего банка, похищенные средства были выведены на пластиковые карты физлиц в 22 крупнейших российских банках и обналичены в разных регионах страны. До этого Carbanak похитили более миллиарда евро у 100 финансовых учреждений из 40 стран мира.

Подписываемся, следим @CyberAgency

Related Post

Clarksons отказался платить вымогателям

Опубликовано - 01.12.2017 0
Британская компания Clarksons, считающаяся крупнейшей в мире судовых брокеров, подтвердила, что стала жертвой хакеров, завладевших важной конфиденциальной информацией. Компания полагает,…

Мобильные приложения для торговли акциями являются легкой мишенью для кибератак

Опубликовано - 27.09.2017 0
Согласно сообщениям Security Week, анализ популярных мобильных приложений для торговли акциями показал, что многие из них уязвимы для хакерских атак…