Суббота, 4 июля, 12:43
дома безопасность Group IB: две хакерские группы атакуют российские банки

Group IB: две хакерские группы атакуют российские банки

Группа IB определила огромную кампанию, нацеленную на российский центральный банк, нацеленную на несколько российских финансовых учреждений. Письма были «замаскированы» и напоминали реальные письма, отправленные центральным банком России и FinCERT. Эксперты группы IB обнаружили, что атака 15го Ноябрь мог быть исполнен хакерской группой Silence, в то время как 23го Октябрь от MoneyTaker. Группа IB считает эти две хакерские группы самыми опасными в России.

Группа IB, хакерская группа российских банков

Ноябрьская атака: тишина

Утро 15го В ноябре группа IB обнаружила кампанию, которая рассылала электронные письма всем российским банкам с поддельного адреса электронной почты, на котором она, по-видимому, принадлежала ЦБ РФ (Центральный банк России). По всей видимости, ЦБ РФ не имеет никакого отношения к кампании. Кампания использовала адрес банка (или, по крайней мере, так он выглядел как спуфинг), но не сертификат SSL, который он также должен использовать. Отправленное электронное письмо было «Информация от Центрального банка Российской Федерации» и просило адресатов проверить решение регулятора. Файлы, которые должны были открывать получатели, находились в сжатом zip-файле, который при открытии удалял Silence.Downloader, инструмент, который хакеры используют в группе Silence. Исследователи Группы IB заметили, что структура электронной почты была идентична той, что использует банк, а это значит, что у хакеров были образцы, которые они могли дублировать. Согласно отчету IB Группы, члены Silence должны были быть в прошлом или все еще быть сотрудниками банка в качестве тестеров проникновения или реверс-инженеров.

Октябрьская атака: MoneyTaker

Сообщение, отправленное в октябре 23, также с ложного адреса электронной почты FinCERT, содержало вложения 5, идентичные файлам CBR. 3 из 5 представлял собой пустые файлы документов, в то время как два других загрузили Meterpreter Stager. Чтобы выполнить атаку, хакеры использовали свой собственный SSL-сертификат, используя тот же сервер, который они использовали в своих предыдущих атаках, что сделало вывод, что MoneyTaker стоял за октябрьской атакой.

Автоматическая система обнаружения вторжений Group IB немедленно обнаружила кампанию и сообщила другим банкам о вредоносной деятельности. «Хакерские группы MoneyTaker и Silence - две наиболее опасные группы, нацеленные на финансовые учреждения. Из их предыдущих атак мы увидели, что они нацелены на организации всеми возможными способами. Например, они могут отправлять фишинговые электронные письма, грабить физическое хранилище организации или контролировать сеть организации на предмет потенциальных уязвимостей. Получив доступ к внутренней системе организации, они могут легко выполнять катастрофические атаки, снимать банкоматы, получать доступ к внутренним системам и т. Д. Однако на основании их атак мы пришли к выводу, что они предпочитают фишинговые атаки, которым они уделяют пристальное внимание, чтобы они казались реальными.

Группа IB является партнером Интерполиз Европоли предложено SWIFT и ОБСЕ.

ОСТАВИТЬ ОТВЕТ

Пожалуйста, введите ваш комментарий!
Пожалуйста, введите ваше имя здесь

SecNews
SecNewshttps://www.secnews.gr
В мире без заборов и стен, которым нужны ворота и окна

LIVE NEWS

iOS 13.5.1: пользователи iPhone сообщают о проблемах батареи

Заметили ли вы какие-либо изменения в вашем iPhone в последнее время? Может быть, например, батарея быстро разряжается ...

Avaddon Ransomware: атаки через макросы Excel 4.0

Вчера Microsoft объявила, что Avaddon Ransomware распространился на этой неделе с помощью старой техники, которая снова вышла на первый план. ...

Apple: запрещает обновление китайских приложений без разрешения

Apple запрещает разработчикам обновлять существующие приложения в китайском App Store, если они не одобрены правительством.

Австралия: тысячи аккаунтов MyGov продаются в Dark Web

Доступ к более чем 3600 учетным записям MyGov продается в темной сети, что потенциально может привести к мошенничеству и краже личных данных тысяч австралийцев.
00: 03: 03

Время вечеринки: смотри телевизор с друзьями онлайн

Время вечеринки: смотри телевизор со своими друзьями в интернете. Время для другой вечеринки, к которой ты не привык, смотреть любимую ...

CISA и ФБР предупреждают бизнес о рисках Tor

Агентство по кибербезопасности и безопасности инфраструктуры (CISA) и Федеральное бюро расследований (ФБР) выпустили предупреждение для предприятий относительно ...

openSUSE: выпущен новый жесткий диск Leap 15.2

Недавно была выпущена следующая стабильная версия операционной системы openSUSE. По словам команды разработчиков операционной системы, ...

Каковы наиболее популярные типы вредоносных программ?

Исследователи ищут наиболее распространенные типы вредоносных программ. В ходе расследования вредоносных действий исследователи в киберпространстве сосредоточились ...

REvil Ransomware: цель для электрической компании Light SA

Операторы REvil Ransomware (также известный как Sodinokibi) нарушили бразильскую электроэнергетическую компанию Light SA ...

LinkedIn: наша ошибка связана с проблемой iOS

Вчера представитель LinkedIn сообщил ZDNet, что ошибка в приложении для iOS привела к, по-видимому, «мешающему поведению», которое ...