Контакты
Подписка 2025
ТБ Форум 2025
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля | ТБ Форум 2025
Регистрируйтесь и приходите!

Преступники из Carbanak загружают вредонос RDFSNIFFER в ПО производителей банкоматов

14/10/19

Киберпреступная группировка FIN7 (также известная как Carbanak или Cobalt) вооружилась новыми инструментами BOOSTWRITE и RDFSNIFFER. Исследователи из команды Mandiant компании FireEye обнаружили несколько образцов нового вредоносного дроппера, названного BOOSTWRITE, способного загружать бэкдор Carbanak и троян для удаленного доступа (RAT) RDFSNIFFER.

Полезная нагрузка RDFSNIFFER была разработана для внедрения в работу клиента Aloha Command Center производителя банкоматов и платежных терминалов NCR Corporation. Aloha Command Center представляет набор инструментов удаленного администрирования, предназначенный для управления и исправления проблем на системах обработки платежных карт, на которых запущен Command Center. Вредоносная программа загружается в тот же процесс, что и Command Center, нарушая порядок загрузки DLL-библиотеки легитимной утилиты Aloha.

Недавно обнаруженный RAT попадает на скомпрометированные системы после того, как загрузчик BOOSTWRITE расшифровывает встроенную полезную нагрузку, используя при запуске ключи шифрования от операторов. BOOSTWRITE использует технику перехвата поиска DLL (DLL Search Order Hijacking) для загрузки собственных вредоносных DLL-библиотек в память зараженной системы, а затем загружает вектор инициализации и ключ, необходимый для дешифрования встроенных полезных нагрузок.

Signed-BOOSTWRITE-sample

Один из образцов BOOSTWRITE был подписан цифровым сертификатом, выданным компанией MANGO ENTERPRISE LIMITED.

«Используя доверие, предоставляемое цифровыми сертификатами, FIN7 увеличивает свои шансы обойти различные меры безопасности и успешно скомпрометировать системы жертв», — сообщают исследователи.

Вредонос RDFSNIFFER позволяет преступникам «перехватывать установки Aloha Command Center и взаимодействовать с целевыми системами посредством существующих легитимных процессов двухфакторной авторизации». RDFSNIFFER загружается в процесс RDFClient каждый раз, когда на скомпрометированных компьютерах запускается легитимное программное обеспечение. Вредонос может отслеживать или изменять соединения, созданные с помощью RDFClient, предоставляя операторам возможность осуществлять MitM-атаки (Man-In-The-Middle), а также содержит бэкдор, позволяющий злоумышленнику загружать, скачивать, выполнять и удалять произвольные файлы.

Темы:Банки и финансыУгрозыCarbanak
Безопасная разработка
Подходы и инструменты управления процессом разработки безопасного программного обеспечения
Регистрируйтесь и приходите! 13 февраля 2025
Статьи по темеСтатьи по теме

  • Как соответствовать требованиям ЦБ РФ при защите мобильных приложений
    Юрий Шабалин, Ведущий архитектор Swordfish Security
    Профиль защиты прикладного программного обеспечения – это методический документ Банка России, согласно которому приложения должны проходить оценку на соответствие госстандарту в специальных лабораториях.
  • Ключевые индикаторы риска: как ими правильно пользоваться
    Кирилл Чекудаев, ведущий консультант по информационной безопасности RTM Group
    Ключевые индикаторы риска (КИР) необходимо корректно определить, и на этом этапе, как показывает практика, у многих организаций финансового сектора возникают проблемы.
  • Кто зарабатывает на вэйлинге в России?
    Алексей Гусев, старший советник председателя правления банка “ЦентроКредит”, преподаватель РТУ РУДН и НИЯУ МИФИ
    Вэйлинг – специализированный и таргетированный вариант привычного фишинга, нацеленный на VIP-клиентов, относится к не столь распространенному и потому редко упоминаемому виду. Однако в последнее время хакеры начинают обращать на него внимание, а его методики используются в качестве базы для более сложного таргетированного фишинга.
  • Топ-8 ошибок соответствия ГОСТ 57580.1
    Константин Чмиль, консультант по ИБ RTM Group
    Регулятор вводит все новые положения, которые собраны в ГОСТ 57580.1 и ужесточаются год от года. Если постоянно проходить проверку на соответствие требованиям этого документа, то вероятность возникновения инцидентов можно свести к минимуму.
  • Расширения для браузеров: удобный инструмент или ворота для хакеров?
    Ксения Рысаева, Руководитель группы аналитики Центра противодействия киберугрозам Innostage CyberART
    Расширения для браузеров и недостаточное внимание к ним со стороны администраторов усиливают риски возникновения угроз для компаний
  • КиберНЕустойчивость и как с ней бороться
    Александр Пуха, начальник отдела аудита и консалтинга АМТ-ГРУП
    Определение показателей операционной надежности для технологических процессов

Хотите сотрудничать?

Выберите вариант!

Печатное издание
Интернет-портал
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Актуальные вопросы защиты информации
12 февраля 2025 | Организатор: ФСТЭК России

Еще темы...

More...