Расследование PT: как украсть у банка миллионы рублей за одну ночь

Расследование PT: как украсть у банка миллионы рублей за одну ночь

Расследование PT: как украсть у банка миллионы рублей за одну ночь

Компания Positive Technologies представила детальный отчет о расследовании одного из инцидентов в банковской сфере, в ходе которого за одну ночь из шести банкоматов финансовой организации были похищены несколько миллионов рублей (эквивалент в местной валюте).

Избежать более крупных потерь банку помогла случайность: инструменты для атаки конфликтовали с ПО банкоматов компании NCR, из-за чего злоумышленникам не удалось выполнить свои задачи по выводу денег полностью.

Опубликованные результаты расследования, проведенного экспертами Positive Technologies, позволяют отметить несколько нюансов, характерных для современных кибератак на финансовые организации:

  1. Злоумышленники все чаще используют известные инструменты и встроенную функциональность операционных систем. В данном случае использовалось коммерческое ПО Cobalt Strike, включающее многофункциональный троян Beacon класса RAT (Remote Access Trojan), обладающий широкими возможностями по удаленному управлению системами. Также были использованы программа Ammyy Admin, приложения Mimikatz, PsExec, SoftPerfect Network Scanner и Team Viewer.
  2. Использование фишинговых рассылок остается одним из успешных векторов атаки в силу недостаточного уровня осведомленности работников в вопросах ИБ. Вектор заражения инфраструктуры банка основывался на запуске файла documents.exe из RAR-архива, присланного по электронной почте одному из сотрудников и содержащего вредоносное ПО. Целенаправленная рассылка электронных писем, имитировавших финансовую корреспонденцию и сообщения от службы ИБ, велась на протяжении месяца. Запуск файла из фишинговых писем в разное время осуществили сразу несколько сотрудников, а заражение произошло из-за отключенного (или использовавшего устаревшие базы) антивируса на рабочей станции одного из них.
  3. Таргетированные атаки становятся все более организованными и распределенными во времени. Расследование показало, что старт атаки пришелся на первую неделю августа. В начале сентября (после закрепления в инфраструктуре) начались атаки с целью выявления рабочих станций сотрудников, ответственных за работу банкоматов и использование платежных карт. И только в первых числах октября злоумышленники загрузили вредоносное ПО на банкоматы и осуществили кражу денежных средств: оператор отправлял команду на банкоматы, а подставные лица (дропы) в условленный момент забирали деньги.

«Атаки на клиентов банка сегодня отходят на второй план, уступая дорогу атакам на сетевую инфраструктуру банков. Злоумышленники осознали, что далеко не все финансовые организации достаточно инвестируют в свою безопасность, а некоторые делают это лишь "для галочки", с целью соответствия требуемым стандартам», — комментирует результаты расследования Максим Филиппов, директор по развитию бизнеса Positive Technologies в России.

В ходе расследования инцидента экспертами Positive Technologies было собрано множество хостовых и сетевых индикаторов компрометации, которые были направлены в FinCERT Банка России с целью распространения данной информации среди финансовых организаций и предотвращения подобных атак в будущем.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Обновление WinAppSDK сломало механизм деинсталляции в Windows 10

C 12 ноября ряд пользователей Windows 10 столкнулись с проблемой обновления и деинсталляции пакетных приложений вроде Microsoft Teams. Microsoft подтвердила наличие бага и отозвала обновление WinAppSDK.

Судя по всему, проблема вызвана пакетом WinAppSDK версии 1.6.2, которая автоматом установилась в системы пользователей после инсталляции приложения, разработанного с использованием Win App SDK.

На затронутых устройствах, работающих под управлением Windows 10 22H2, выводилась ошибка «Something happened on our end» в разделе «Загрузки» Microsoft Store.

«Если вы системный администратор и пытаетесь управлять приложениями через PowerShell с помощью команды “Get-AppxPackage“, система может выдать вам ошибку “Deployment failed with HRESULT: 0x80073CFA“», — объясняет Microsoft.

«Вы также можете столкнуться с проблемами обновления или переустановки Microsoft Teams и других сторонних приложений».

Корпорация пока отозвала проблемную версию WinAppSDK 1.6.2. Один из разработчиков Майк Кридер уточнил, что фикс стоит ждать с выходом WinAppSDK 1.6.3.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru