События

Эксперты раскрыли подробности об атаках на финансовый сектор Украины

Эксперты раскрыли подробности об атаках на финансовый сектор Украины

Во втором полугодии 2016 года исследователи ESET обнаружили уникальный набор вредоносных инструментов, используемых в атаках на финансовый сектор Украины. По мнению экспертов, целью хакерской группировки, названной ими TeleBots, является саботаж.

Применяемые хакерами техники и инструменты напоминают группировку, стоящую за атаками на украинскую энергетическую компанию «Прикарпатьеоблэнерго» и использующую вредоносное ПО BlackEnergy. По мнению специалистов, TeleBots представляет собой эволюционировавшую BlackEnergy.

Как и BlackEnergy, новое вредоносное ПО распространяется с помощью целенаправленного фишинга. Жертвам рассылались электронные письма с вложенным документом Microsoft Excel, содержащим вредоносные макросы. Тем не менее, на этот раз злоумышленники не использовали социальную инженерию с целью заставить пользователя открыть документ, а целиком и полностью полагались на случай.

Как правило, метаданные подобных документов не содержат никакой информации, проливающий свет на их авторов. Однако в данном случае они указывают на лицо, тесно связанное с русскоязычными киберпреступниками. Эксперты не исключают, что злоумышленники намеренно указали неверные данные с целью направить исследователей на ложный след.

Когда жертва активирует контент, выполняется вредоносный макрос, совпадающий с макросом, использовавшимся в атаках BlackEnergy. Его главным предназначением является загрузка и выполнение вредоносного кода. Код представляет собой загрузчик, написанный на языке Rust и предназначенный для загрузки и выполнения другого вредоносного ПО.

На финальном этапе атаки загружается бэкдор, написанный на языке Python и детектируемый как Python/TeleBot.AA trojan. Для связи с хакерами троян использует Telegram Bot API. Каждый обнаруженный исследователями образец содержит в своем коде уникальный токен, а значит, у каждого из них есть собственная учетная запись в Telegram.

На последнем этапе атаки также используется вредоносный компонент KillDisk, способный создавать собственные файлы взамен удаленных им, с теми же именами. Вместо первоначального контента данные файлы содержат одну или две строки mrR0b07 или fS0cie7y – отсылка к телесериалу «Мистер Робот».

Автор: Сергей Куприянов
15.12.2016 (15:47)
Пройди тест и узнай об этом!
Информер новостей
Расширение для Google Chrome
Пишите нам

Редакция: info@alterprogs.ru

Реклама: adv@alterprogs.ru

Все права защищены © 2010-2017

"Alterprogs.ru" - технологии будущего

Контакты  | Карта сайта

Использование любых материалов, размещенных на сайте, разрешается при условии ссылки на alterprogs.ru. Для интернет-изданий - обязательна прямая открытая для поисковых систем гиперссылка. Ссылка должна быть размещена в независимости от полного либо частичного использования материалов. Материалы в рубрике "Новости партнеров" публикуются на правах рекламы.