SOS :: Security Operation Space
14 ноября, четверг, 00:00
|
Hot News:

Группировка Fin7 обновила арсенал

14 октября 2019 г., понедельник, 15:59

Киберпреступники взяли на вооружение загрузчик BOOTSWRITE, а также программу для взлома RDF-утилиты в банкоматах.

Кибергруппировка Fin7 включила новые инструменты в свой набор вредоносных программ и продолжает атаки на коммерческие организации, несмотря на арест трех участников в 2018 году. К такому выводу пришли специалисты компании FireEye после анализа нескольких новых инцидентов, произошедших осенью этого года.

Как сообщили аналитики, киберпреступники взяли на вооружение бестелесный дроппер BOOSTWRITE, а также используют специальную программу для взлома инструментов удаленного администрирования банкоматов. В ходе последних атак злоумышленники доставляли на целевое устройство установщик, который декодировал полезную нагрузку при помощи ключа шифрования, полученного от командного сервера. В ряде случаев программа была подписана действительным сертификатом безопасности, чтобы избежать обнаружения антивирусными сканерами.

Бэкдор RDFSNIFFER нацелен на банкоматы NCR

В качестве полезной нагрузки выступали либо бэкдор Carbanak либо новый зловред RDFSNIFFLER. Последний разработан для внедрения в легитимный RDF-инструмент Aloha Command Center, предназначенный для администрирования киосков самообслуживания, торговых терминалов, банкоматов и других устройств американской компании NCR.

Специалисты выяснили, что RDFSNIFFER загружается в процесс агента, используя недостатки в порядке выполнения библиотек Aloha Command Center. Работая в рамках легитимной задачи, вредонос может отслеживать SSL-сеансы и перехватывать работу с пользовательским интерфейсом удаленного администрирования. Находясь в положении человек посередине, киберпреступники способны выполнять команды и операции с файлами на скомпрометированном устройстве.

Исследователи не сообщили, каким образом злоумышленники попадали на целевые машины, однако ранее Fin7 использовали для этой цели фишинговые письма. ИБ-специалисты известили NCR о своих находках, однако разработчики пока не сообщили о планах по выпуску заплатки, закрывающей проблему.

Предыдущее обновление вредоносных инструментов Fin7 зафиксировали в марте этого года. Тогда, аналитики обнаружили в арсенале группировки загрузчик SQLRat и бэкдор DNSBot. Программы доставлялись на компьютер жертвы через email-рассылки и работали с оригинальной панелью управления Astra.

Ваш голос учтён!
нравится
не нравится Рейтинг:
0
Всего голосов: 0
Комментарии

Добавить комментарий к новости

Ваше имя: *
Сообщение: *
Нет комментариев
10:15
09:15
06:15
06:15
17:15
17:13
16:36
15:17
13:15
12:15
10:15
08:15
07:15
06:15
05:40
05:13
16:50
15:15


© 2013—2019 SOS :: Security Operation Space (Пространство Операций Безопасности)  // Обратная связь  | 1.182
Использование любых материалов, размещённых на сайте, разрешается при условии ссылки на sos.net.ua.