Κακόβουλα αρχεία Windows EXE μολύνουν τους χρήστες macOS
infosec

Κακόβουλα αρχεία Windows EXE μολύνουν τους χρήστες macOS

Ερευνητές ασφαλείας, ανακάλυψαν πολλά αρχεία Windows EXE, που χρησιμοποιούν κακόβουλα payloads για να μολύνουν τους χρήστες macOS με infostealers και...
Read More
infosec

Η Cisco προειδοποιεί για σφάλμα κωδικού στο Network Assurance Engine

Η Cisco προειδοποιεί τους πελάτες της πως πρέπει άμεσα να εγκαταστήσουν μία αναβάθμιση, η οποία θα διορθώσει ένα πολύ σοβαρό...
Read More
infosec

500px: Παραβίαση δεδομένων του 2018 εξέθεσε πληροφορίες χρηστών

500px: Η πλατφόρμα κοινοποίησης φωτογραφιών αποκάλυψε πως υπήρχε ένα σφάλμα ασφαλείας που εξέθεσε τα προσωπικά δεδομένα χρηστών και τις πληροφορίες...
Read More
infosec

Χακαρισμένοι λογαριασμοί Twitter χρησιμοποιούνται για να προμοτάρουν την Σαουδική Αραβία

Αρκετοί verified λογαριασμοί Twitter έχουν αναληφθεί από παλιούς συνεργάτες την Σαουδική Αραβία και μερικοί τους έχουν χρησιμοποιήσει για να προωθήσουν...
Read More
infosec

10 εταιρείες που προσπάθησαν να αγοράσουν το Facebook

Το Facebook, όπως γνωρίζουμε όλοι, δεν είναι μόνο μια από τις πιο αγαπημένες και δημοφιλής πλατφόρμες δισεκατομμύρια χρηστών αλλά και...
Read More
Latest Posts

Group IB: Δυο hacker groups επιτίθενται σε Ρωσικές τράπεζες

Η Group IB εντόπισε μια τεράστια καμπάνια προσποιούμενη την κεντρική τράπεζα της Ρωσίας, με στόχο διάφορα Ρωσικά χρηματοπιστωτικά ιδρύματα. Τα emails ήταν «μεταμφιεσμένα» και έμοιαζαν με τα αληθινά emails που στέλνει η κεντρική τράπεζα της Ρωσίας και της FinCERT.  Οι ειδικοί της Group IB ανακάλυψαν ότι η επίθεση της 15ης Νοέμβριου θα μπορούσε να έχει εκτελεστεί από το hacker group Silence, ενώ η επίθεση της 23ης Οκτωβρίου από την MoneyTaker. Η Group IB θεωρεί αυτά τα δυο hacker group ως τα πιο επικίνδυνα στην Ρωσία.

Group IB hacker group Russian banks

Επίθεση Νοεμβρίου: Silence  

Το πρωί της 15ης Νοεμβρίου, η Group IB εντόπισε μια καμπάνια που έστελνε μαζικά emails σε όλες τις τράπεζες της Ρωσίας, από μια ψεύτικη ηλεκτρονική διεύθυνση, όπου φαινόταν να ανήκει στην CBR (Central Bank of Russia). Προφανώς η CBR δεν έχει καμία σχέση με την καμπάνια. Η καμπάνια χρησιμοποιούσε μια διεύθυνση της τράπεζας (ή τουλάχιστον έτσι φαινόταν μέσω spoofing), αλλά όχι το SSL certificate που θα έπρεπε επίσης να χρησιμοποιεί. Το email που αποστελλόταν είχε το θέμα ”Information from the Central Bank of the Russian Federation”, και ζήταγε από τους παραλήπτες να ελέγξουν την απόφαση ενός ρυθμιστικού φορέα. Τα αρχεία που έπρεπε οι παραλήπτες να ανοίξουν βρίσκονταν μέσα σε ένα συμπιεσμένο αρχείο zip, το οποίο κατά το άνοιγμα του, κατέβαζε το Silence.Downloader, δηλαδή το εργαλείο που χρησιμοποιούν οι hackers της ομάδας Silence. Αυτό που παρατήρησαν οι ερευνητές της Group IB είναι ότι η δομή των email ήταν πανομοιότυπη με αυτή που χρησιμοποιεί η τράπεζα, πράγμα που σημαίνει ότι οι hackers με κάποιον τρόπο είχαν στην διάθεση τους δείγματα που μπορούσαν να αντιγράψουν. Σύμφωνα με το report της Group IB, μέλη της Silence πρέπει να ήταν στο παρελθόν ή να είναι ακόμα εργαζόμενοι της τράπεζας ως penetrator testers ή reverse engineers.

Επίθεση Οκτωβρίου: MoneyTaker  

Το μήνυμα το οποίο στάλθηκε στις 23 Οκτωβρίου, επίσης από πλαστή διεύθυνση email της FinCERT, περιείχαν 5 επισυναπτόμενα αρχεία, πανομοιότυπα με αρχεία της CBR. Τα 3 από τα 5 ήταν κενά αρχεία doc, ενώ τα άλλα δυο έκαναν λήψη του Meterpreter Stager. Για να εκτελέσουν την επίθεση, οι hackers χρησιμοποίησαν δικό τους SSL Certificate, ενώ χρησιμοποίησαν τον ίδιο server που είχαν χρησιμοποιήσει και σε προηγούμενες επιθέσεις τους, από όπου και βγήκε το συμπέρασμα ότι η MoneyTaker βρίσκονταν πίσω από την επίθεση του Οκτωβρίου.

Το αυτοματοποιημένο σύστημα ανίχνευσης εισβολών της Group IB εντόπισε αμέσως την καμπάνια και ενημέρωσε τις υπόλοιπες τράπεζες για την κακόβουλη δραστηριότητα. “Τα hacker groups MoneyTaker και Silence είναι οι δυο πιο επικίνδυνες ομάδες που στοχεύουν χρηματοοικονομικά ιδρύματα. Από προηγούμενες επιθέσεις τους, έχουμε δει ότι στοχεύουν οργανισμούς με κάθε πιθανό τρόπο που μπορούν να σκεφτούν. Για παράδειγμα μπορεί να στείλουν spear phishing emails, να ληστέψουν  κάποιο φυσικό κατάστημα του οργανισμού, ή να ελέγξουν το δίκτυο του οργανισμού για πιθανές ευπάθειες. Αφού καταφέρουν να πάρουν πρόσβαση σε κάποιο εσωτερικό σύστημα του οργανισμού, μπορούν εύκολα να εκτελέσουν καταστροφικές επιθέσεις, να κάνουν αναλήψεις από ΑΤΜ, να πάρουν πρόσβαση σε εσωτερικά συστήματα και πολλά άλλα. Από το ιστορικό των επιθέσεων τους ωστόσο συμπεραίνουμε ότι προτιμούν τις επιθέσεις phishing, στις οποίες δίνουν μεγάλη προσοχή για να τις κάνουν να φαίνονται αληθινές.

Η Group IB είναι συνεργάτης της INTERPOL, της EUROPOL, και προτείνεται από την SWIFT και την OSCE.

Έχετε άποψη; Αφήστε το σχόλιό σας.

Ο συντάκτης σας επιτρέπει να αντιγράψετε το κείμενό του, μόνο εφόσον αναφέρετε την πηγή (SecNews.gr), σαν ηλεκτρονική διεύθυνση (Live URL) του άρθρου.
Updated on by

Reader Interactions

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *