Эксперты компаний FireEye и iSight Partner опубликовали подробный отчет о деятельности хакерской группировки, фигурирующей в документе под именем Fin6. Эта неизвестная ранее группа работает с конца 2015 года и в основном занимается хищением финансовой информации.
Преимущественно это информация о банковских картах, полученная в результате атак на сектора розничной торговли и медицины. Специалисты сообщают, что только в одном из случаев хакеры похитили данные 20 млн банковских карт, что принесло им порядка 400 000 000 долларов.
Каким образом происходит исходная компрометация систем жертв, эксперты точно сказать не могут. Исследователи полагают, что на первом этапе кардеры из Fin6 могут использовать направленный фишинг или вообще перекупают доступ к уже инфицированным компьютерам у других групп. В частности, в системах пострадавших был найден вредонос Grabnew, который также известен под названиями Vawtrack или Neverquest. Grabnew является бэкдором, умеет воровать данные из веб-форм, а также осуществлять инъекции кода в веб-страницы. Зловред похищает учетные данные с зараженных машин и PoS-систем и переправляет их на сервер своих операторов,
Чтобы закрепиться в системе, злоумышленники используют различные модули Metasploit. В частности, в одном из рассмотренных экспертами случаев, для загрузки и выполнения шеллкода был задействован Metasploit PowerShell. Также в арсенале картеров присутствуют Hardtack и Shipbread.
Злоумышленники повышают свои привилегии, эксплуатируя уязвимости CVE-2013-3660, CVE-2011-2005 и CVE-2010-4398. При помощи других модулей Metasploit, Fin6 делают копию Active Directory БД (ntds.dit), что впоследствии позволяет хакерам извлечь парольные хеши и взломать их в оффлайне.
Укрепив свои позиции, злоумышленники доставляют в зараженную систему основного вредоноса – Trinity, чья деятельность уже направлена непосредственно против PoS-девайсов. Trinity собирает в зараженной системе широкий спектр различных данных, пакует информацию в ZIP-архивы и заливает их на хостинг, откуда информация уходит на управляющий сервер хакеров. В одном из изученных специалистами случаев заражению Trinity подверглись более 2000 систем сразу.
Собранную информацию о банковских каратах Fin6 не используют самостоятельно, но перепродают в даркнете. По данным экспертов, в среднем цена информации об одной карте составляет $21. В отчете сказано, что только в результате одного из многочисленных инцидентов, злоумышленники сумели похитить данные о 20 млн банковских карт, так что можно представить, какими суммами оперирует группировка Fin6 и каков масштаб их атак.
В ночь на 26 ноября в работе сервисов на платформе Microsoft 365, включая Teams, Exchange Online и Outlook, произошел сбой. Он продолжался 8 часов и был связан с ошибками в ходе планового обновления платформы.
Проблемы в работе сервисов Microsoft начали проявляться между 22:10 и 22:30 UTC (1:10 и 1:30 соответственно по московскому времени). Однако первые симптомы сбоя начали спорадически появляться уже в ночь на воскресенье 24 ноября.
Пользователи Outlook и Exchange Online не могли синхронизировать почту. В Teams перестали работать все функции, включая чаты, голосовые сообщения и календарь. Больше всего жалоб на прекращение работы сервисов поступало из обеих Америк, Австралии и зарубежного Дальнего Востока, где сбой пришелся на разгар рабочего дня.
Проблемы были вызваны неудачным обновлением платформы.
«Мы выявили недавнее изменение, которое, по нашему мнению, привело к сбою. Мы начали отменять изменение и выясняем, какие дополнительные действия необходимы для смягчения проблемы», — сообщили в Microsoft.
Служба поддержки Microsoft пообещала устранить проблемы за три часа. Однако оперативно это сделать не получилось, и работы затянулись до утра по UTC.
Подписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017 Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.
