Команда BMW полгода наблюдала за проникшими в сеть компании хакерами

Команда BMW полгода наблюдала за проникшими в сеть компании хакерами

Немецкий производитель автомобилей BMW выявил и отслеживал группу киберпреступников, которой удалось проникнуть в сеть компании весной 2019 года. Как минимум полгода группировка пыталась получить доступ к коммерческой тайне немецкого машиностроителя.

Команда безопасности BMW вычислила присутствие киберпреступной группировки после того, как на одном из компьютеров корпорации был обнаружен инструмент для пентеста Cobalt Strike.

Этот инструмент обычно используют исследователи в области кибербезопасности, цель которых — симуляция различных сценариев атаки, максимально приближенных к реальности.

По словам команды специалистов BMW, злоумышленникам некоторое время позволяли свободно осуществлять свою кибероперацию. В это время сотрудники пристально следили за действиями хакеров, задачи были следующие: идентифицировать группировку, вычислить количество скомпрометированных систем, а также понять основной предмет интереса атакующих.

На прошлых выходных команда безопасности наконец выключила взломанный компьютер, ограничив киберпреступникам доступ к сети BMW.

Представители производителя автомобиля заявили, что атакующим не удалось выкрасть конфиденциальную информацию или коммерческую тайну корпорации.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Авторы трояна Trickbot совершенствуют защиту веб-инжектов

Анализ новейших образцов Trickbot, проведенный в IBM Trusteer, показал, что у трояна-долгожителя появилась дополнительная защита от обнаружения и анализа. Нововведения по большей части направлены на сокрытие кражи данных в рамках банковского фрода.

Модульный троян Trickbot объявился в интернете шесть лет назад и вначале работал, как обычный банкер, — воровал информацию, облегчающую отъем денег со счетов жертв заражения. Зловред постоянно совершенствуется, пережил ряд попыток ликвидации и в последние годы в основном используется как загрузчик других вредоносных программ.

Банковские трояны обычно осуществляют перехват финансовой информации посредством атаки man-in-the-browser (MitB) во время веб-сессии жертвы. При этом они используют веб-инжекты — скрипты, способные на лету подменять передаваемые данные.

Внедряемый код, как правило, хранится локально в конфигурационном файле зловреда; Trickbot, как оказалось, может также подгружать его в реальном времени со своего сервера. Таким образом, злоумышленники сразу убивают двух зайцев: упрощают себе замену веб-инжектов и осложняют выявление банков-мишеней для исследователей.

 

Используемый трояном JavaScript-загрузчик тоже претерпел изменения; теперь он запрашивает инжекты с C2 по защищенным каналам (HTTPS). Сами MitB-скрипты сильно обфусцированы — закодированы по Base64 и заполнены мусором, строки зашифрованы и перепутаны, имена переменных, функций и аргументов изменены.

В код Trickbot были также добавлены функции борьбы с дебагом; механизм реализован в виде JavaScript-сценария и позволяет выявить присутствие отладчика. Обнаружив попытку анализа, зловред провоцирует перегрузку по памяти, влекущую отказ браузера.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru