APT-группа Carbanak, укравшая $1 млрд у финансовых организаций, сменила стратегию и ныне атакует представителей гостиничного бизнеса и предприятия общепита.

По данным Trustwave, в последние несколько недель участники Carbanak активно названивают в службы работы с клиентами отелей, жалуясь на невозможность зарезервировать номер онлайн и прося разрешения выслать необходимую информацию по электронной почте. Мошенник держит вызов, пока агент не откроет вложение — документ Word с вредоносным макросом. Целью этой схемы является засев вредоносной программы, способной извлекать данные кредитных карт из PoS-систем.

«Carbanak приобрела известность миллиардными кражами из банков, — рассказывает Брайан Хасси (Brian Hussey), директор Trustwave по глобальной профилактике киберинцидентов и реагированию. — Мы наблюдаем резкую смену интересов Carbanak, их мишеней и характера атак».

Со слов Хасси, эта группировка, также известная как Anunak, ныне атакует PoS-системы с помощью перекомпилированного ПО Carbanak, которое трудно обнаружить. Атакующих прежде всего интересуют предприятия, базирующиеся в США.

«Элементы социальной инженерии в высшей степени узконаправленны, атаки проводятся посредством прямых телефонных звонков, притом звонящие очень хорошо говорят по-английски», — признал представитель Trustwave. Хакеры даже создали сайты фиктивных компаний, от имени которых многократно звонят, устанавливая персональные контакты со служащими.

trustwave-carbanak-malicious-word

Образец документа Word, распространяемого Carbanak (источник: Trustwave)

Если потенциальная жертва откроет вредоносный документ и активирует макрос, запустится дроппер Carbanak. Анализ показал, что файл Word «содержит зашифрованный VBS-скрипт, способный воровать системную информацию, делать скриншоты рабочего стола и загружать дополнительное вредоносное ПО».

После заражения зловред связывается с C&C и скачивает файл AdobeUpdateManagementTool.vbs — скрипт, собирающий важную информацию о системе и сети. Он также загружает дополнительные инструменты разведки — Nmap, FreeRDP, NCat, NPing, чтобы выявить топологию целевой сети и добраться до среды обработки данных кредитных карт, обеспечив хакерам плацдарм для заражения систем, ответственных за обработку транзакций. Исследователи особо отметили два загружаемых файла: el32.exe и el64.exe — эксплойты для повышения привилегий на 32-битных и 64-битных платформах.

Со слов Хасси, злоумышленники используют перекомпилированные версии своего ПО, защищенные от детектирования. «Они скомбинировали многие из своих вредоносных программ и создали новые варианты, — говорит собеседник Threatpost. — У них новые индикаторы компрометации (IoC), новые домены и IP-адреса».

На втором этапе атаки в ход идут новые компоненты. В запущенный процесс svchost.exe внедряется вредоносный bf.exe с целью спрятать свою активность. Подгружаются также kldconfig.exe, kldconfig.plug и runmem.wi.exe. «Эти инструменты — хорошо известный Carbanak и его вариации, которые использовались в атаках на банки в 2015 году, — пишет Хасси. — Кроме того, расшифрованная строка ссылается на anunak_config, зашифрованный конфигурационный файл, загружаемый с командного сервера».

С этого момента Carbanak и его модификации, по свидетельству Trustwave, отступают от своей прежней схемы, ориентированной на ДБО-системы IFOBS (Internet Front Office Banking Systems). «Это вредоносное ПО очень многофункционально, оно может включить удаленный рабочий стол, украсть локальные пароли, обыскать почтовый ящик пользователя, атаковать IFOBS-системы или установить совершенно иные программы доступа к рабочему столу», — рассказывает далее Хасси.

По его словам, «упорство, профессионализм и повсеместность текущей кампании» достигли на редкость высокого уровня.

Modus operandi Carbanak впервые проанализировали в «Лаборатории Касперского». Расследование деятельности APT-группы, проведенное экспертами совместно с Европолом и Интерполом, показало, что в результате масштабной операции злоумышленникам удалось совокупно украсть порядка $1 млрд у сотни банков в разных странах.

Хасси полагает, что благодаря широкой огласке Carbanak потеряла свое могущество и была вынуждена переключиться на новые цели и переработать свое ПО, чтобы уберечь его от детектирования. «Это их новая кампания, — пояснил собеседник Threatpost. — Она стартовала примерно шесть недель назад и очень агрессивна; злоумышленники пытаются заразить по возможности больше компаний, пока IoC мало кому известны».

По его словам, за последние несколько недель новая итерация Carbanak-зловреда поразила трех клиентов Trustwave. «Они очень активны, — сетует Хасси. — Наши контакты в юридических компаниях сообщают, что подобные атаки наблюдаются повсюду». Trustwave также предупреждает, что текущая киберкампания «предельно скрыта» и плохо детектируется. «Если не проинформировать широкую общественность о новой кампании, ее мишени, скорее всего, обнаружат атаку лишь тогда, когда уже будет поздно», — сказал в заключение Хасси.

Категории: Аналитика, Вредоносные программы, Главное, Хакеры