Аналитики «Лаборатории Касперского» рассказали об атаках на банки, получивших название DarkVishnya.
Исследователи пишут, что в 2017-2018 годах их пригласили для изучения нескольких киберограблений, объединенных «общим знаменателем». Каждый раз стартовой точкой этих атак оказывалось неизвестное устройство, напрямую подключенное к локальной сети компании. В одних случаях это был центральный офис, в других – региональное отделение, иногда даже находящееся в другой стране.
Целями атак DarkVishnya стали как минимум восемь банков в Восточной Европе, а примерный ущерб от действий злоумышленников составил несколько десятков миллионов долларов.
Каждую такую атаку можно условно разделить на несколько идентичных этапов. На первом этапе злоумышленник под благовидным предлогом (курьер, соискатель на вакансию и так далее) проникал в здание организации и подключал устройство к локальной сети, например, в одной из переговорных комнат. По возможности, устройство пряталось или маскировалось под окружающую обстановку, чтобы не вызывать подозрений у сотрудников.
Использованные в DarkVishnya устройства могли варьироваться в зависимости от вкусов и возможностей злоумышленников. В изученных экспертами случаях это был один из трех инструментов:
Внутри локальной сети такое устройство могло выглядеть как неизвестный компьютер, флеш-накопитель или даже как клавиатура. В сочетании с реальными размерами (так, Bash Bunny сопоставим по габаритам с обычной USB-флешкой) это серьезно осложняло поиск «точки входа». Для удаленного доступа к «подкидышу» использовался GPRS/3G/LTE-модем, встроенный в устройство или подключенный к нему через USB-порт.
На втором этапе злоумышленники удаленно подключались к своему устройству и сканировали локальную сеть организации в попытке получить доступ к папкам общего доступа, веб-серверам и любым другим открытым ресурсам. Целью был сбор информации о сети, в частности, поиск серверов и рабочий станций, задействованных в осуществлении платежей.
Одновременно злоумышленники пытались подобрать перебором или же перехватить данные, которые можно использовать для авторизации на одной из подходящих машин. Чтобы обойти накладываемые брандмауэром ограничения, они размещали shell-коды с локальными TCP-серверами. Если брандмауэр блокировал доступ из одного сегмента сети в другой, но разрешал обратное подключение, атакующие использовали различную полезную нагрузку, чтобы проложить туннель.
Когда эти поиски приносили плоды, злоумышленники переходили к третьему этапу. Они авторизовались в атакованной системе и использовали ПО для удаленного доступа, чтобы сохранить доступ к ней. Далее на захваченном компьютере запускались вредоносные сервисы, созданные с помощью msfvenom. Чтобы обойти «белые списки» и доменные политики, преступники использовали бесфайловые методики и PowerShell.
Если же «белые списки» обойти не удавалось, а использование PowerShell на атакованном компьютере было отключено, злоумышленники использовали impacket, а также winexesvc.exe и psexec.exe для удаленного запуска исполняемых файлов. Затем денежные средства выводились, например, через банкоматы.
Читайте также
Последние новости