- Регистрация
- 26.03.21
- Сообщения
- 159
- Онлайн
- 15д 21ч 27м
- Сделки
- 0
- Нарушения
- 6 / 7
Кто такие?
Carbanak - международная хакерская группировка, которую создали выходцы из России. Помимо россиян в группировку входят люди из Китая, Украины и ЕС.
Во главе стоят несколько человек - это эксперт по БД (базам данных), создатель вируса, разведчик банковских систем, фишер и чистильщик.
Как работают?
Наглядная схема атаки, использующаяся хакерами из Carbanak
1. Рассылка и получение доступа
Сотруднику банка приходит электронное письмо с вложением, примерно следующего содержания (для русскоязычной и англоязычной публики соответственно):
Сотрудник банка открывает письмо, а потом и вложение (CPL-файл, упакованный RAR). В файле реализована эксплуатация нескольких уязвимостей (причём не 0-day, а старых: Microsoft Office (CVE-2012-0158 и CVE-2013-3906), а так же Microsoft Word (CVE-2014-1761)). Заливается, собственно, сам бэкдор Carbanak.
Позднее, происходит изучение системы работы этой организации (несколько месяцев), далее оттуда крадутся деньги.
2. Кража денег
Ребята при краже денег используют очень интересную схему:
По завершению всей операции подключался чистильщик и удалял все следы присутствия в системе банка.
3. Каким софтом пользуются?
Так же создается служба для обеспечения автозагрузки на зараженной машине. В качестве имени службы выбирается произвольный сервис, который имеется в системе, в конце приписывается “Sys”.
Перед созданием службы, Carbanak проверяет процессы на предмет наличия там avp.exe или avpui.exe (компоненты антивирусных программ Касперского). Если такие процессы находятся, Carbanak пытается проэксплуатировать уязвимость CVE-2013-3660 для повышения привилегий. Уязвимость существует в ОС Windows XP, Server 2003, 7, 8, Server 2012.
Помимо этого создается файл со случайным именем и расширением .bin в каталоге %COMMON_APPDATA%\Mozilla.
Вредонос получает настройки прокси-сервера из реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
а так же из конфигурационного файла %AppData%\Mozilla\Firefox\<профиль>\prefs.js
Carbanak внедряет свой код в системный процесс svchost.exe.
Так же скачивает файл kldconfig.plug со своего командного сервера. Файл содержит имена процессов для мониторинга. Подразумевается, что ищутся процессы банк-клиентов.
Помимо этого Carbanak логирует все нажатия клавиш, а так же делает скриншоты каждые 20 секунд.
Устанавливается возможность подключения удаленного рабочего стола (RDP), для этого служба “Termservice” устанавливается в автоматический режим запуска. Кроме того, изменяются некоторые модули сервиса удаленных подключений (termsrv.dll, csrsrv.dll, msgina.dll и winlogon.exe) для того, чтобы активного пользователя не “вышибало” при коннекте по RDP.
Если на компьютере обнаруживается банк-клиент, на командный сервер посылается уведомление.
Обмен сообщениями с командным сервером происходит по HTTP-протоколу с использованием RC2+Base64 шифрования. В трафик периодически внедряются незашифрованные строки с различными расширениями и случайными данными для отвлечения внимания, например запросы на реально существующие веб-сайты.
Carbanak поддерживает неплохой перечень команд. Вот лишь некоторые из них: исполнение произвольных команд, захват экрана, загрузка дополнительных файлов, загрузка утилиты удаленного администрирования “ammyy admin“, убийство ОС (перезапись бут-сектора, внесение некорректных записей в реестр), перезагрузка ОС, организация туннеля, организация сеанса связи RDP, удаление произвольных служб и файлов, организация VNC-сессии.
Вместо выводов
26 марта 2018 года Европол объявил об аресте одного из участников группировки Carbanak. Хакер спалился по собственной глупости и был задержан в Испании. В его поимке помимо Европола участвовали ФБР, полиция Румынии, Беларуси и Тайваня.
Задержанным оказался гражданин Украины Денис К. При обыске у него изъяли компьютеры, ювелирные изделия на сумму свыше 500 тысяч евро, документы и два дорогих автомобиля. Кроме того, были арестованы счета задержанного и два дома стоимостью один миллион евро.
Банкиры было вздохнули, решив, что теперь все их беды закончились. Однако группировка не остановилась и продолжает обносить банковский сектор.
Новыми жертвами хакеров вновь стали банки и процессинговые компании в разных странах мира. Атаки происходят с использованием уязвимостей CVE-2017-11882 и CVE-2017-8570.
Carbanak - международная хакерская группировка, которую создали выходцы из России. Помимо россиян в группировку входят люди из Китая, Украины и ЕС.
Во главе стоят несколько человек - это эксперт по БД (базам данных), создатель вируса, разведчик банковских систем, фишер и чистильщик.
Как работают?
Наглядная схема атаки, использующаяся хакерами из Carbanak
1. Рассылка и получение доступа
Сотруднику банка приходит электронное письмо с вложением, примерно следующего содержания (для русскоязычной и англоязычной публики соответственно):
Сотрудник банка открывает письмо, а потом и вложение (CPL-файл, упакованный RAR). В файле реализована эксплуатация нескольких уязвимостей (причём не 0-day, а старых: Microsoft Office (CVE-2012-0158 и CVE-2013-3906), а так же Microsoft Word (CVE-2014-1761)). Заливается, собственно, сам бэкдор Carbanak.
Далее, вирус распространяется по сети, в поисках компьютеров тех, кто владеет инструментами и привилегиями на модификацию информации, имеющей отношение к банк-клиентам (чаще всего некие администраторы/менеджеры).
Позднее, происходит изучение системы работы этой организации (несколько месяцев), далее оттуда крадутся деньги.
2. Кража денег
Ребята при краже денег используют очень интересную схему:
- Предположим, имеется счёт с $1,000. Используя банк-клиент они завышают сумму на счете до $10,000.
- Лишние $9,000 переводятся на другой счёт или налятся через банкоматы (посылается удаленная команда на выдачу наличных, когда неподалёку находится дроп).
- На счету остается та же самая тысяча долларов и вроде бы всё на месте. Тревогу бить вроде бы не с чего. В банках замечают такую атаку далеко не сразу, а только тогда, когда цифры начинают откровенно не сходиться.
Таким образом ребята снимали по 12 миллионов долларов в день!
По завершению всей операции подключался чистильщик и удалял все следы присутствия в системе банка.
3. Каким софтом пользуются?
- Группировка использует собственную малварь, которая называется точно так же - Сarbanak
Так же создается служба для обеспечения автозагрузки на зараженной машине. В качестве имени службы выбирается произвольный сервис, который имеется в системе, в конце приписывается “Sys”.
Перед созданием службы, Carbanak проверяет процессы на предмет наличия там avp.exe или avpui.exe (компоненты антивирусных программ Касперского). Если такие процессы находятся, Carbanak пытается проэксплуатировать уязвимость CVE-2013-3660 для повышения привилегий. Уязвимость существует в ОС Windows XP, Server 2003, 7, 8, Server 2012.
Помимо этого создается файл со случайным именем и расширением .bin в каталоге %COMMON_APPDATA%\Mozilla.
Вредонос получает настройки прокси-сервера из реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
а так же из конфигурационного файла %AppData%\Mozilla\Firefox\<профиль>\prefs.js
Carbanak внедряет свой код в системный процесс svchost.exe.
Так же скачивает файл kldconfig.plug со своего командного сервера. Файл содержит имена процессов для мониторинга. Подразумевается, что ищутся процессы банк-клиентов.
Помимо этого Carbanak логирует все нажатия клавиш, а так же делает скриншоты каждые 20 секунд.
Устанавливается возможность подключения удаленного рабочего стола (RDP), для этого служба “Termservice” устанавливается в автоматический режим запуска. Кроме того, изменяются некоторые модули сервиса удаленных подключений (termsrv.dll, csrsrv.dll, msgina.dll и winlogon.exe) для того, чтобы активного пользователя не “вышибало” при коннекте по RDP.
Если на компьютере обнаруживается банк-клиент, на командный сервер посылается уведомление.
Обмен сообщениями с командным сервером происходит по HTTP-протоколу с использованием RC2+Base64 шифрования. В трафик периодически внедряются незашифрованные строки с различными расширениями и случайными данными для отвлечения внимания, например запросы на реально существующие веб-сайты.
Carbanak поддерживает неплохой перечень команд. Вот лишь некоторые из них: исполнение произвольных команд, захват экрана, загрузка дополнительных файлов, загрузка утилиты удаленного администрирования “ammyy admin“, убийство ОС (перезапись бут-сектора, внесение некорректных записей в реестр), перезагрузка ОС, организация туннеля, организация сеанса связи RDP, удаление произвольных служб и файлов, организация VNC-сессии.
Некоторые модули Carbanak имеют цифровую подпись для усыпления бдительности сторожевых программ.
Вместо выводов
26 марта 2018 года Европол объявил об аресте одного из участников группировки Carbanak. Хакер спалился по собственной глупости и был задержан в Испании. В его поимке помимо Европола участвовали ФБР, полиция Румынии, Беларуси и Тайваня.
Задержанным оказался гражданин Украины Денис К. При обыске у него изъяли компьютеры, ювелирные изделия на сумму свыше 500 тысяч евро, документы и два дорогих автомобиля. Кроме того, были арестованы счета задержанного и два дома стоимостью один миллион евро.
Банкиры было вздохнули, решив, что теперь все их беды закончились. Однако группировка не остановилась и продолжает обносить банковский сектор.
Новыми жертвами хакеров вновь стали банки и процессинговые компании в разных странах мира. Атаки происходят с использованием уязвимостей CVE-2017-11882 и CVE-2017-8570.
