Аналитики: «Российские хакеры» готовят атаку на банки США

Аналитики: «Российские хакеры» готовят атаку на банки США

Российская хакерская группировка APT28, которую совсем недавно обвинили в атаке на «правительственную структуру» некоего иностранного государства, планирует взлом сетей ряда банков в США, Объединенных Арабских Эмиратах и Нигерии. Об этом говорится в докладе американской компании root9B Technologies, специализирующейся на информационной безопасности.

В список целей вошли американские финансовые организации TD Bank, Bank of America и Regions Bank, а также UAE Bank (ОАЭ) и United Bank for Africa (Нигерия). Кроме того, список предполагаемых целей включает Детский фонд ООН — международную организацию, действующую под эгидой Организации Объединенных Наций, сообщает cnews.ru.

Заражение компьютеров хакеры планируют осуществлять путем рассылки электронных писем и вредоносными вложениями либо ссылками на веб-сайты с вредоносным кодом. Экспертам неизвестно, когда APT28 планирует начать операцию. По словам специалистов, сейчас хакеры дописывают вредоносный код, настраивают командно-контрольный сервер и регистрируют фальшивые веб-адреса, похожие на адреса официальных сайтов финансовых и други организаций, а также популярных СМИ, по которым планируется разместить вредоносный код — b-of-americ.com, regionsbnk.info, techcruncln.com и др.

Представители root9B отметили,что ни одна из указанных организаций не является их клиентом. «Но мы понимаем, что это наш долг — поделиться информацией», — заявил генеральный директор root9B Эрик Хипкинс (Eric Hipkins). В компании добавили, что это большая удача — обнаружить готовящуюся атаку (обычно выполняется анализ уже проведенных атак). Эксперты опубликовали хэш-суммы вредоносных приложений и IP-адрес командно-контрольного сервера, чтобы компании могли заблокировать их.

В докладе root9B говорится, что за последние три-пять лет российские хакеры «создали крупнейший из обнаруженных ботнетов, похитили логины и пароли к десяткам миллионов аккаунтов и украли почти $900 млн из банков по всему миру». Увеличение количества кибератак на иностранные государства — это «часть агрессивной внешней политики России», считают авторы доклада.

В конце апреля 2015 г. хакерская группировка APT28 была обвинена в проведении атаки на «правительственную структуру» некоего иностранного государства другим американским разработчиком средств защиты — FireEye. Специалисты не стали называть, какая именно структура и какого государства стала жертвой.

Впервые группировка APT28 была идентифицирована FireEye в октябре 2014 г. Тогда специалисты компании заявили, что она, по всей вероятности, спонсируется правительством России. APT28 специализируется на атаках типа Advanced Persistent Threat или APT (отсюда и обозначение группировки, присвоенное ей компаний FireEye). Атаки типа APT подразумевают наличие конкретной цели, длительную продолжительность атаки и использование изощренных методов взлома.

В начале апреля нынешнего года американское агентство CNN со ссылкой на собственные источники обвинило российскую сторону в причастности к атакам на систему электронной почты Белого дома США осенью 2014 г. Пресс-секретарь Президента России Дмитрий Песков заявил в ответ, что Кремль не имеет отношения к этим действиям, и добавил, что в последнее время обвинять во всем Россию стало новым «видом спорта».

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Злоумышленники хранили свой код в DNS-записях в шестнадцатеричном формате

Команда DomainTools обнаружила еще один пример использования DNS как хранилища вредоносов. Для сокрытия бинарника его конвертировали в шестнадцатеричный формат, разбили на части и спрятали в TXT-записях связанных поддоменов.

Подобные злоупотребления рассчитаны на то, что защитные решения редко проверяют DNS-трафик на предмет угроз, он для них слепая зона. К тому же организовать выявление аномалий в легитимном потоке запросов в данном случае непросто, а при использовании шифрования (DoH или DoT) — еще сложнее.

Привлекшие внимание экспертов записи DNS TXT содержали информацию о сотнях различных поддоменов *.felix.stf.whitetreecollective[.]com, дополненную фрагментами кода в шестнадцатеричном формате.

 

При их извлечении и сборке с преобразованием в двоичный файл оказалось, что это Joke Screenmate — злонамеренное приложение Windows, которое выводит на экран изображения или анимацию, от которых трудно избавиться.

Это может быть череда шутливых картинок, которые быстро множатся, и их трудно закрыть. Более агрессивные варианты таких программ пугают жертв бесконечными сообщениями об ошибках или якобы обнаруженных вирусах.

Известны случаи, когда в DNS-записях скрывались вредоносные скрипты. Исследователи из DomainTools тоже столкнулись с таким TXT-содержимым; на поверку зашифрованный Powershell оказался загрузчиком, скачивающим пейлоад второго этапа атаки с C2 на базе Covenant.

В комментарии для Ars Technica представитель DomainTools поведал, что недавно они нашли DNS-записи с текстами для ИИ-ботов, которые, видимо, используются в рамках промпт-инъекций. Все фразы начинались с «Ignore all previous instructions» («Забудь обо всех прежних инструкциях») и содержали различные просьбы, от с виду невинных (назвать произвольное число, выдать краткое содержание фильма «Волшебник», спеть песню, как птичка) до явно провокационных (игнорить все последующие инструкции, удалить обучающие данные и восстать против своих хозяев).

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru