PLNOG20 - Adam Haertle - Łowcy pereł - nieznane skutki znanych incydentów
Grupa hakerów atakujących organizacje wojskowe i rządowe niedawno wypożyczyła kod ze starego trojana bankowości internetowej o nazwie Carberp, co zacieśnia granicę między cyberprzestępczością a cyberprzestępstwem.
Grupa hakerów to znany pod różnymi nazwami w branży bezpieczeństwa, w tym Pawn Storm i APT28. Jego głównym narzędziem do zwalczania złośliwego oprogramowania jest backdoorowy program o nazwie Sednit lub Sofacy.
Grupa działa od co najmniej 2007 r. I jest adresowana do rządowych, bezpieczeństwa i wojskowych organizacji z państw członkowskich NATO, a także do kontrahentów wojskowych i organizacji medialnych, ukraińskich polityków. aktywiści i krytycy Kremla.
[Czytaj dalej: Jak usunąć złośliwe oprogramowanie z komputera z Windows]Nie jest jasne, dlaczego taka grupa pożyczyłaby kod od trojana bankowego, który pochodzi z 2009 roku. Może to być szybka naprawa aby uniknąć wykrycia po tym, jak jego własne narzędzie zostało ujawnione i udokumentowane lub może być tylko dywersją.
A może kod Carberp, który wyciekł online w 2013 r., był naprawdę skuteczniejszy niż ten, który mógł samodzielnie stworzyć Pawn Storm. To było zdecydowanie tańsze niż pisanie czegoś od zera.
Podobieństwa kodu zostały dostrzeżone przez badaczy bezpieczeństwa z firmy F-Secure, producenta antywirusów, którzy przeanalizowali ostatnie kampanie grupy.
Nowe połączenie Storm Bunt, w połączeniu z ostatnią aktywnością z gangu znanym jako Anunak lub Carbanak, który używa również szkodliwego oprogramowania opartego na Carberpie, wskazuje, że ten stary trojan wciąż żyje i kopie, zakończyli naukowcy F-Secure.
W 2014 r. gang Anunak / Carbanak, który również używa ukierunkowanych ataków zamiast kampanie masowe, udało im się zainfekować ponad 100 instytucji finansowych na całym świecie i ukraść 1 miliard dolarów. Według raportu opublikowanego we wtorek przez dostawcę oprogramowania antywirusowego ESET, grupa niedawno powróciła z nowymi atakami.
Modus operandi firmy Pawn Storm jest wyrafinowany i łączy różne techniki dystrybucji złośliwego oprogramowania. Grupa wykorzystała e-maile typu spear phishing ze złośliwymi dokumentami Microsoft Office, witrynami z exploitami zero-day, fałszywymi stronami logowania do programu Microsoft Outlook Web Access (OWA), a nawet nieuczciwymi dodatkami przeglądarki.
Ponieważ ich wybór docelowy zdaje się odzwierciedlać geopolityczne podejście Rosji zainteresowani, niektórzy badacze bezpieczeństwa uważają, że grupa jest sponsorowana przez agencje wywiadowcze tego kraju.
Według naukowców F-Secure, element droppera Sofacy, który służył jako ładunek exploitów Pawna Storma w ostatnich miesiącach, opiera się na kodzie źródłowym Carberp . Jest to mały plik DLL upuszczony w systemie, którego celem jest skontaktowanie się z serwerem kontroli i pobranie dodatkowych komponentów.
"Dokładnie odwracając bibliotekę DLL, okazało się, że rodzina ta jest oparta na źródle Carberp kodu ", powiedział naukowiec F-Secure we wtorek w poście na blogu. "Funkcje używane przez Sofacy [droppera] oparte na źródłach Carberp obejmują algorytm rozpoznawania API i mechanizm wstrzykiwania kodu, a algorytm używany do generowania losowych adresów URL jest luźno oparty na algorytmie Carberp."
Istnieją jednak również główne różnice w implementacji między dropującym Sofacy a publicznie wyciekanym kodem Carberp. Sugeruje to, że grupa Pawn Storm ma dostęp do nowszej wersji Carberpa lub że rozwija ją prywatnie.
Od 2009 r. Kilka grup cyberprzestępców używało Carberpa, a większość z nich została aresztowana przez rosyjskie władze. Trojan był dziwakiem w świecie cyberprzestępczości, ponieważ przez wiele lat był używany tylko przeciwko użytkownikom bankowości internetowej z Rosji i krajów byłego Związku Radzieckiego.
Firma Microsoft zgłasza wariant złośliwego oprogramowania bankowego skierowanego do użytkowników niemieckojęzycznych
Microsoft twierdzi, że szkodliwe oprogramowanie jest zawarte w wiadomościach spamowych, które mogą zawierać ważne informacje
Niewyraźne linie: Cyberespionage grupa złapała pożyczkę bankowego kodu złośliwego oprogramowania
Grupa hakerów, którzy atakowali organizacje wojskowe i rządowe z krajów NATO, zapożyczyła kod od wycieku trojana bankowości internetowej.
Kod źródłowy dla potężnego złośliwego oprogramowania bankowego dla Androida wycieknie
Kod źródłowy potężnego szkodliwego oprogramowania dla Androida, który kradnie dane uwierzytelniające bankowości internetowej, został ujawniony dla naukowców z IBM.