Эксперты раскрыли подробности об атаках на финансовый сектор Украины

 

Вo втoрoм пoлугoдии 2016 гoдa исслeдoвaтeли ESET oбнaружили уникaльный
нaбoр врeдoнoсныx инструмeнтoв, испoльзуeмыx в aтaкax нa финaнсoвый
сектор Украины. По мнению экспертов, целью хакерской группировки,
названной ими TeleBots, является саботаж.

Применяемые хакерами
техники и инструменты напоминают группировку, стоящую за атаками на
украинскую энергетическую компанию «Прикарпатьеоблэнерго» и использующую
вредоносное ПО BlackEnergy. По мнению специалистов, TeleBots
представляет собой эволюционировавшую BlackEnergy.

Как и
BlackEnergy, новое вредоносное ПО распространяется с помощью
целенаправленного фишинга. Жертвам рассылались электронные письма с
вложенным документом Microsoft Excel, содержащим вредоносные макросы.
Тем не менее, на этот раз злоумышленники не использовали социальную
инженерию с целью заставить пользователя открыть документ, а целиком и
полностью полагались на случай.

Как правило, метаданные подобных
документов не содержат никакой информации, проливающий свет на их
авторов. Однако в данном случае они указывают на лицо, тесно связанное с
русскоязычными киберпреступниками. Эксперты не исключают, что
злоумышленники намеренно указали неверные данные с целью направить
исследователей на ложный след.

Когда жертва активирует контент,
выполняется вредоносный макрос, совпадающий с макросом, использовавшимся
в атаках BlackEnergy. Его главным предназначением является загрузка и
выполнение вредоносного кода. Код представляет собой загрузчик,
написанный на языке Rust и предназначенный для загрузки и выполнения
другого вредоносного ПО.

На финальном этапе атаки загружается
бэкдор, написанный на языке Python и детектируемый как Python/TeleBot.AA
trojan. Для связи с хакерами троян использует Telegram Bot API. Каждый
обнаруженный исследователями образец содержит в своем коде уникальный
токен, а значит, у каждого из них есть собственная учетная запись в
Telegram.

На последнем этапе атаки также используется вредоносный
компонент KillDisk, способный создавать собственные файлы взамен
удаленных им, с теми же именами. Вместо первоначального контента данные
файлы содержат одну или две строки mrR0b07 или fS0cie7y — отсылка к
телесериалу «Мистер Робот».

Комментирование и размещение ссылок запрещено.

Комментарии закрыты.