Контакты
Подписка 2024
Персональные данные
4 апреля. Персональные данные в 2024 году: регулирование, практика, тенденции
Регистрируйтесь на онлайн-конференцию!

Хакеры по найму атакуют финансовые учреждения Южной Азии

16/11/20

hack45-Nov-16-2020-09-44-09-49-AMИсследователи безопасности из компании Blackberry сообщили о вредоносной кампании «хакеров по найму» (Hackers for Hire, HfH), в рамках которой использовалось ранее неизвестное вредоносное ПО для осуществления атак на финансовые учреждения Южной Азии и глобальные развлекательные компании.

Кампания, получившая название CostaRicto, предположительно организована хакерами, которые обладают сложным вредоносным инструментом и комплексными возможностями VPN-прокси и SSH-туннелирования.

«Цели CostaRicto разбросаны по разным странам Европы, Америки, Азии, Австралии и Африки, но наибольшая концентрация приходится на Южную Азию (особенно Индию, Бангладеш и Сингапур). Это позволяет предположить, что источник угрозы мог базироваться в этом регионе, но продавал свои незаконные услуги на международном черном рынке тем, кто предложит самую высокую цену», — отметили эксперты.

Получив доступ к среде жертвы с помощью украденных учетных данных, злоумышленники приступают к настройке SSH-туннеля для загрузки бэкдора и загрузчика CostaBricks, который реализует механизм виртуальной машины C++ для декодирования и внедрения полезной нагрузки в память. Бэкдор представляет собой скомпилированный на C++ исполняемый файл под названием SombRAT. Он снабжен 50 различными командами для выполнения задач (основные, диспетчер задач, конфигурация, хранилище, отладка, сетевые функции), которые варьируются от внедрения вредоносных DLL-библиотек в память до перечисления файлов в хранилище и пересылки захваченных данных на сервер, контролируемый злоумышленником.

В общей сложности было идентифицировано шесть версий SombRAT, первая из которых датируется октябрем 2019 года, а последняя версия была обнаружена в августе нынешнего года.

Хотя личности злоумышленников до сих пор неизвестны, один из IP-адресов, на которые были зарегистрированы домены бэкдоров, был связан с фишинговой кампанией, приписываемой киберпреступной группировке APT28 (также известной как Fancy Bear). Однако сами исследователи BlackBerry полагают, что прямая связь между CostaRicto и APT28 маловероятна. Возможно, совпадение IP-адресов является случайным или фишинговые кампании были переданы наемникам от имени злоумышленника.

Темы:BlackberryПреступленияКиберугрозы
NGFW
9 апреля. Отечественные NGFW: как защитить облачную инфраструктуру и настроить обнаружение кибератак
Участвуйте и представляйте решения!

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...