FIN7 рассылают вредоносные флэшки с плюшевыми медведями

Опубликовано at 17:16
175 0

Легендарная и очень успешная кибергруппировка FIN7 затеяла новую (не связанную тематически с пандемией) кампанию по рассылке фирмам флэшек с бэкдором GRIFFON. К нему прилагается благодарственное письмо, подарочная карта и, иногда, мягкие игрушки.

Как сообщает ИБ-компания Trustwave, ее клиент (неназванный гостиничный оператор) получил по почте пакет с подарочной картой BestBuy и USB флэш-накопителем. При подключении к компьютеру «флэшка» играла роль клавиатуры, запускающей команды для загрузки и выполнения вредоносного ПО.

Вышеупомянутые бандероли получили множество компаний, в том числе рестораны, магазины и гостиничные операторы. Бандероли адресовались сотрудникам отделов кадров, IT-отделов и даже высшему руководству.

Используемые киберпреступниками USB флэш-накопители стоят недорого, порядка $5-14 в зависимости от поставщика и страны доставки. Согласно уведомлению ФБР, в них используются микроконтроллеры ATMEGA24U, однако в устройстве, исследованном специалистами Trustwave, использовался микроконтроллер ATMEGA32U4. И в том, и в другом устройстве на материнской плате было напечатано HW-374. Как было установлено, в обеих «флэшках» использовалась плата Arduino Leonardo, запрограммированная выполнять действия клавиатуры и компьютерной мыши. Кастомизировать нажатия клавиш и движения мыши можно с помощью Arduino IDE.

После подключения к тестовой рабочей станции «флэшка» инициировала серию автоматизированных нажатий клавиш на клавиатуре, запускающих PowerShell-команду. Эта команда загружала с web-сайта более объемный PowerShell-скрипт и устанавливала вредоносный JScript-бот. На момент проведения анализа данный образец вредоносного ПО был незнаком специалистам Trustwave. Вероятнее всего, он является кастомным и создан специально для конкретной целевой атаки.

АКБ напоминает, что печально известная (а для кого-то культовая) хакерская группировка Carbanak (она же Fin7, она же Cobalt) в 2019 году возобновила деятельность и добавила в свой арсенал абсолютно новое вредоносное ПО и инструменты администрирования. И это несмотря на то, что в прошлом году американские спецслужбы арестовали всех руководителей банды, действовавших под прикрытием на первый взгляд легитимной компании Combi Security.

Борьба с этой группировкой похожа на отсечение голов гидре – оставшиеся участники Carbanak по-прежнему сохраняют активность и продолжают совершенствовать свои инструменты и методы атак. Чаще всего они используют фишинг.

АКБ напоминает, что первая в 2018 году масштабная хакерская атака Carbanak на российский банк была проведена через ПО Банка России. В результате инцидента ПИР-банк лишился более 58 миллионов рублей.

По данным СМИ, хакеры вывели деньги с корреспондентского счета ПИР-банка в Центробанке, после того, как получили доступ к автоматизированному рабочему месту клиента Банка России (АРМ КБР) — специализированному ПО-админке, устанавливаемой на отдельный компьютер. АРМ КБР и ранее становились мишенью хакеров, но ранее Центробанк заверял, что успешных атак на ПО больше не будет.

По словам представителей пострадавшего банка, похищенные средства были выведены на пластиковые карты физлиц в 22 крупнейших российских банках и обналичены в разных регионах страны. До этого Carbanak похитили более миллиарда евро у 100 финансовых учреждений из 40 стран мира.

Читайте также на АКБ:

Главари Carbanak/Fin7 за решеткой – но кибербанда сильна как никогда

Подписываемся, следим @CyberAgency

Related Post

Главари Carbanak/Fin7 за решеткой – но кибербанда сильна как никогда

Опубликовано - 13.05.2019 0
Исследователи по кибербезопасности «Лаборатория Касперского» отметили активность киберпреступной группировки Fin7/Carbanak, которая продолжается даже после задержания ее лидеров. Более того, не…