 |
 |
Home | | | |
Short News | | | |
Long News | | | |
Long Reads | | | |
Support | | | |
Library |
25 апреля, четверг, 00:00
|
|
Home | | | |
Short News | | | |
Long News | | | |
Long Reads | | | |
Support | | | |
Library |
Киберпреступники взяли на вооружение загрузчик BOOTSWRITE, а также программу для взлома RDF-утилиты в банкоматах.
Кибергруппировка Fin7 включила новые инструменты в свой набор вредоносных программ и продолжает атаки на коммерческие организации, несмотря на арест трех участников в 2018 году. К такому выводу пришли специалисты компании FireEye после анализа нескольких новых инцидентов, произошедших осенью этого года.
Как сообщили аналитики, киберпреступники взяли на вооружение бестелесный дроппер BOOSTWRITE, а также используют специальную программу для взлома инструментов удаленного администрирования банкоматов. В ходе последних атак злоумышленники доставляли на целевое устройство установщик, который декодировал полезную нагрузку при помощи ключа шифрования, полученного от командного сервера. В ряде случаев программа была подписана действительным сертификатом безопасности, чтобы избежать обнаружения антивирусными сканерами.
В качестве полезной нагрузки выступали либо бэкдор Carbanak либо новый зловред RDFSNIFFLER. Последний разработан для внедрения в легитимный RDF-инструмент Aloha Command Center, предназначенный для администрирования киосков самообслуживания, торговых терминалов, банкоматов и других устройств американской компании NCR.
Специалисты выяснили, что RDFSNIFFER загружается в процесс агента, используя недостатки в порядке выполнения библиотек Aloha Command Center. Работая в рамках легитимной задачи, вредонос может отслеживать SSL-сеансы и перехватывать работу с пользовательским интерфейсом удаленного администрирования. Находясь в положении человек посередине, киберпреступники способны выполнять команды и операции с файлами на скомпрометированном устройстве.
Исследователи не сообщили, каким образом злоумышленники попадали на целевые машины, однако ранее Fin7 использовали для этой цели фишинговые письма. ИБ-специалисты известили NCR о своих находках, однако разработчики пока не сообщили о планах по выпуску заплатки, закрывающей проблему.
Предыдущее обновление вредоносных инструментов Fin7 зафиксировали в марте этого года. Тогда, аналитики обнаружили в арсенале группировки загрузчик SQLRat и бэкдор DNSBot. Программы доставлялись на компьютер жертвы через email-рассылки и работали с оригинальной панелью управления Astra.
 |
нравится | не нравится |  |
Рейтинг: | 0 |
Всего голосов: 0 |
19:45 |
||
17:45 |
||
14:45 |
||
12:45 |
||
11:45 |
||
09:45 |
||
09:45 |
||
19:45 |
||
18:45 |
||
16:45 |
||
15:45 |
||
14:45 |
||
13:45 |
||
10:45 |
||
10:45 |
||
09:45 |
||
19:45 |
||
19:45 |
| Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library | | | Blogs | | | Links |
