«Лаборатория Касперского» участвует в расследовании ряда кибератак, от которых уже пострадали банки, телекоммуникационные компании и правительственные учреждения — всего 140 организаций в 40 странах мира, в том числе и в России.

В данных атаках используется «бестелесный зловред», живущий в оперативной памяти и не детектируемый системами защиты. Подобный стиль характерен для известных кибергруппировок Carbanak и GCMAN. Как стало известно аналитикам «Лаборатории Касперского», для проникновения в корпоративные сети злоумышленники воспользовались легитимным ПО, в основном используемым для пентестинга, администрирования, автоматизации задач в Windows, — например, PowerShell.

«Лаборатория» заметила неизвестную кибергруппировку в конце 2016 года, расследуя подозрительную активность в сети одного из банков. В памяти сервера банка было обнаружено ПО для тестирования на проникновение Meterpreter, которое зачастую используется злоумышленниками для вредоносных целей. Meterpreter был загружен PowerShell-скриптами из реестра операционной системы напрямую в память. Оставаясь незамеченной, программа собирала пароли системных администраторов. Злоумышленники хотели таким образом получить доступ к финансовым процессам банка.

Позже выяснилось, что подобные атаки происходили в других странах, и группировка до сих пор остается активной. Так как вредоносный код внедрен в легитимные утилиты, системы защиты, работающие на основе «белых списков», его не детектируют.

Сергей Голованов, ведущий антивирусный эксперт «Лаборатории Касперского», подчеркнул, что использование «бесфайловых зловредов» — одна из последних тенденций в мире киберугроз. Именно поэтому исследование системной памяти очень важно, подчеркнул эксперт.

Детали расследования будут представлены «Лабораторией Касперского» на международной конференции по кибербезопасности Security Analyst Summit, которая пройдет на острове Сен-Мартен со 2 по 6 апреля.

Категории: Аналитика, Главное, Хакеры