Suicide
14.10.2019, 20:10
Кибергруппировка Fin7 включила (https://www.bleepingcomputer.com/news/security/fin7-hackers-load-new-rat-malware-into-atm-makers-software/) новые инструменты в свой набор вредоносных программ и продолжает атаки на коммерческие организации, несмотря на арест (https://threatpost.ru/three-ukrainians-arrested-for-cybercrime/27548/) трех участников в 2018 году. К такому выводу пришли специалисты компании FireEye после анализа нескольких новых инцидентов, произошедших осенью этого года.
Как сообщили аналитики, киберпреступники взяли на вооружение бестелесный дроппер BOOSTWRITE, а также используют специальную программу для взлома инструментов удаленного администрирования банкоматов. В ходе последних атак злоумышленники доставляли на целевое устройство установщик, который декодировал полезную нагрузку при помощи ключа шифрования, полученного от командного сервера. В ряде случаев программа была подписана действительным сертификатом безопасности, чтобы избежать обнаружения антивирусными сканерами.
Бэкдор RDFSNIFFER нацелен на банкоматы NCR
В качестве полезной нагрузки выступали либо бэкдор Carbanak либо новый зловред RDFSNIFFLER. Последний разработан для внедрения в легитимный RDF-инструмент Aloha Command Center, предназначенный для администрирования киосков самообслуживания, торговых терминалов, банкоматов и других устройств американской компании NCR.
Специалисты выяснили, что RDFSNIFFER загружается в процесс агента, используя недостатки в порядке выполнения библиотек Aloha Command Center. Работая в рамках легитимной задачи, вредонос может отслеживать SSL-сеансы и перехватывать работу с пользовательским интерфейсом удаленного администрирования. Находясь в положении человек посередине (https://encyclopedia.kaspersky.ru/glossary/man-in-the-middle-attack/?utm_source=threatpost&utm_medium=blog&utm_campaign=termin-explanation), киберпреступники способны выполнять команды и операции с файлами на скомпрометированном устройстве.
Исследователи не сообщили, каким образом злоумышленники попадали на целевые машины, однако ранее Fin7 использовали для этой цели фишинговые письма. ИБ-специалисты известили NCR о своих находках, однако разработчики пока не сообщили о планах по выпуску заплатки, закрывающей проблему.
Предыдущее обновление вредоносных инструментов Fin7 зафиксировали (https://threatpost.ru/fin7-phishing-emerges-yet-again-with-new-malware/31942/) в марте этого года. Тогда, аналитики обнаружили в арсенале группировки загрузчик SQLRat и бэкдор DNSBot. Программы доставлялись на компьютер жертвы через email-рассылки и работали с оригинальной панелью управления Astra.
14.10.2019
https://threatpost.ru/fin7-gears-up-with-bootswrite/34495/
Как сообщили аналитики, киберпреступники взяли на вооружение бестелесный дроппер BOOSTWRITE, а также используют специальную программу для взлома инструментов удаленного администрирования банкоматов. В ходе последних атак злоумышленники доставляли на целевое устройство установщик, который декодировал полезную нагрузку при помощи ключа шифрования, полученного от командного сервера. В ряде случаев программа была подписана действительным сертификатом безопасности, чтобы избежать обнаружения антивирусными сканерами.
Бэкдор RDFSNIFFER нацелен на банкоматы NCR
В качестве полезной нагрузки выступали либо бэкдор Carbanak либо новый зловред RDFSNIFFLER. Последний разработан для внедрения в легитимный RDF-инструмент Aloha Command Center, предназначенный для администрирования киосков самообслуживания, торговых терминалов, банкоматов и других устройств американской компании NCR.
Специалисты выяснили, что RDFSNIFFER загружается в процесс агента, используя недостатки в порядке выполнения библиотек Aloha Command Center. Работая в рамках легитимной задачи, вредонос может отслеживать SSL-сеансы и перехватывать работу с пользовательским интерфейсом удаленного администрирования. Находясь в положении человек посередине (https://encyclopedia.kaspersky.ru/glossary/man-in-the-middle-attack/?utm_source=threatpost&utm_medium=blog&utm_campaign=termin-explanation), киберпреступники способны выполнять команды и операции с файлами на скомпрометированном устройстве.
Исследователи не сообщили, каким образом злоумышленники попадали на целевые машины, однако ранее Fin7 использовали для этой цели фишинговые письма. ИБ-специалисты известили NCR о своих находках, однако разработчики пока не сообщили о планах по выпуску заплатки, закрывающей проблему.
Предыдущее обновление вредоносных инструментов Fin7 зафиксировали (https://threatpost.ru/fin7-phishing-emerges-yet-again-with-new-malware/31942/) в марте этого года. Тогда, аналитики обнаружили в арсенале группировки загрузчик SQLRat и бэкдор DNSBot. Программы доставлялись на компьютер жертвы через email-рассылки и работали с оригинальной панелью управления Astra.
14.10.2019
https://threatpost.ru/fin7-gears-up-with-bootswrite/34495/