Неизвестная кибергруппа атаковала 140 организаций в 40 странах мира

Специалисты «Лаборатории Касперского» раскрыли подробности о деятельности киберпреступной группировки, жертвами которой стали банки, телекоммуникационные компании и правительственные учреждения в 40 странах мира, в том числе в России. Методы злоумышленников напоминают тактику группировок Carbanak и GCMAN.

Для проникновения в корпоративные сети по меньшей мере 140 организаций преступники использовали только легитимное ПО, а любые вредоносные файлы сохраняли в памяти системы, не оставляя следов на жестких дисках. В основном хакеры применяют ПО для тестов на проникновение, инструменты администрирования и утилиты для автоматизации задач в Windows (например, PowerShell).

О существовании группировки стало известно в конце 2016 года. В ходе расследования подозрительной активности в сети одного из банков в СНГ специалисты ЛК обнаружили в памяти сервера финорганизации ПО Meterpreter (используется для тестирования на проникновение), которое сейчас применяется во вредоносных целях. Код Meterpreter был загружен скриптами PowerShell из реестра ОС напрямую в память, что позволило программе оставаться незамеченной и похищать пароли системных администраторов. Как полагают эксперты, целью злоумышленников было получение доступа к финансовым процессам банка.

Внедрение вредоносного кода в легитимное ПО позволяет киберпреступникам избегать обнаружения методом «белых списков», а присутствие только в памяти системы лишает исследователей доказательств и артефактов, на основе которых можно провести расследование, отметили эксперты.