События

Эксперты: Атаки Bad Rabbit не преследовали финансовую выгоду

Исследователи безопасности из компании FireEye выявили на ряде web-сайтов, распространявших вымогательское ПО Bad Rabbit, наличие инструмента Backswing, предназначенного для сбора информации о web-сессиях пользователей. Наличие данного фреймворка говорит о том, что атакующие не преследовали финансовую выгоду, предположили эксперты.

На начальном этапе атаки Bad Rabbit пользователи перенаправлялись на домен 1dnscontrol[.]сom с загрузчиком, замаскированным под инсталятор Flash Player. Заражение устройства происходило после запуска пользователем данного файла.

Как отметили исследователи, несколько скомпрометированных сайтов, перенаправлявших пользователей на домен 1dnscontrol, содержали фреймворк Backswing. С сентября 2016 года данная программа была замечена на более чем 50 сайтах, четыре из них впоследствии были задействованы в атаках Bad Rabbit.

Инструмент Backswing предназначен для сбора информации о сеансе браузера пользователя, включая данные о запросах User-Agent и HTTP Referrer, файлах cookie и текущем домене. Собранную информацию Backswing отправляет на C&C-сервер злоумышленников.

Исследователям обнаружили две версии инструмента. На нескольких сайтах вторая версия появилась 5 октября нынешнего года. Backswing v2 был внедрен в легитимные ресурсы JavaScript, размещенные на скомпрометированных сайтах. Подобные инструменты позволяют злоумышленникам получать больше информации о потенциальных жертвах перед непосредственной атакой, пояснили специалисты.

Использование Backswing для подготовки атак Bad Rabbit позволяет заключить, что атака не была финансово мотивированной, поскольку ориентированные на прибыль злоумышленники, не особо заботятся о том, кого именно заражают, отметили эксперты.

Находка подтверждает теорию о том, что за атаками Bad Rabbit может стоять предположительно спонсируемая РФ хакерская группировка Black Energy (также известная как TeleBots и Sandworm Team), подозреваемая в причастности к атакам шифровальщика NotPetya в июне текущего года. Несмотря на ряд сходных факторов между NotPetya и Bad Rabbit, основное различие заключается в том, что большинство жертв последнего приходится на Россию.

Ранее стало известно, что для более быстрого распространения Bad Rabbit использовалась модифицированная версия эксплоита EternalRomance, похищенного у группы Equation Group, подозреваемой в связях с Агентством национальной безопасности США.

Источник

Автор: Сергей Куприянов
27.10.2017 (15:58)
Пройди тест и узнай об этом!
Информер новостей
Расширение для Google Chrome
Пишите нам

Редакция: info@alterprogs.ru

Реклама: adv@alterprogs.ru

Все права защищены © 2010-2017

"Alterprogs.ru" - технологии будущего

Контакты  | Карта сайта

Использование любых материалов, размещенных на сайте, разрешается при условии ссылки на alterprogs.ru. Для интернет-изданий - обязательна прямая открытая для поисковых систем гиперссылка. Ссылка должна быть размещена в независимости от полного либо частичного использования материалов. Материалы в рубрике "Новости партнеров" публикуются на правах рекламы.