Поделиться
Хакеры устанавливали вредоносное ПО на компьютеры, использующие в Windows русский язык по умолчанию. Источником заражения был документ Word с эксплойтом CVE-2012-0158, который рассылался в приложении к фишинговому письму. Один из обнаруженных образцов вредоносного документа имитировал счет за оказание услуг, второй - контракт мобильного оператора "Мегафон".
Если пользователь открывает вредоносный документ на уязвимой системе, на ПК устанавливается NSIS-загрузчик. Программа проверяет некоторые параметры Windows, после чего скачивает с удаленного сервера архив с вредоносными модулями. Чтобы установить контроль над зараженным ПК, в "Операции Buhtrap" используются программы с исполняемыми файлами mimi.exe и xtm.exe. Они позволяют получить или восстановить пароль от Windows и создать новый аккаунт в операционной системе.
"Схема заражения выглядит следующим образом: злоумышленники компрометируют один ПК компании, отправив сотруднику фишинговое сообщение с эксплойтом. Как только вредоносная программа будет установлена, атакующие воспользуются программными инструментами, чтобы расширить свои полномочия в системе и выполнять другие задачи: компрометировать остальные компьютеры, шпионить за пользователем и отслеживать его банковские транзакции", - объяснил вирусный аналитик ESET Жан-Йен Бутен.
Эксперты ESET отметили сходство данной атаки с крупным инцидентом с применением банковского трояна Anunak/Carbanak. Злоумышленники, которые стоят за "Операцией Buhtrap", используют методы, характерные для таргетированных атак, не связанных с финансовым мошенничеством.
"Наибольшая опасность целенаправленных атак как раз в их продолжительности. Если раньше злоумышленники были менее организованы и действовали по принципу "попробовал - не получилось - пошел дальше", используя при этом, как правило, какую-то одну уязвимость или небольшой фиксированный набор уязвимостей, то при целенаправленной атаке хакер или группа хакеров выбирают себе конкретную цель и подходят к ее атаке творчески и с максимальной усидчивостью, - отметил генеральный директор Zecurion Алексей Раевский. - Не удивительно, что при таком подходе сдаются как крупнейшие компании, так и государственные структуры. Также опасность заключается в том, что при целенаправленных атаках хакеры стремятся похитить либо денежные средства, либо информацию, критически важную для атакуемой организации, тогда как обычная атака может осуществляться с различными, менее разрушительными целями, например, проверить новую уязвимость, развлечься, самоутвердиться".
Эксперты по информационной безопасности рекомендуют компаниям при защите от таргетированных атак обращать больше внимания на интеллектуальные средства обнаружения и предотвращения вторжений. Интеллектуальные системы анализируют сетевую активность и умеют отличать отклонения от стандартных потоков данных, которые могут говорить о ведущейся атаке.