Российские хакеры из Pawn Storm используют троян Carberp

Тема в разделе "Новости информационной безопасности", создана пользователем Severnyj, 10 сен 2015.

  1. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.599
    Кибершпионы позаимствовали исходный код банковского вредоносного ПО шестилетней давности.

    По данным компании F-Secure, группа российских хакеров Pawn Storm, также известная как APT28, которая атакует военные и правительственные организации, взяла на вооружение старый банковский троян Carberp, тем самым еще более размыв грань между киберпреступностью и кибершпионажем.

    [​IMG]

    Главным инструментом этой группировки является вредоносное ПО Sednit или Sofacy, и не совсем понятно, зачем ей заимствовать код программы шестилетней давности. Возможно, использование Carberp стало наиболее быстрым решением для обхода детектирования, или собственные инструменты хакеров были обнаружены и внесены в базы данных. Также не исключено, что утекший в Сеть в 2013 году код Carberp оказался более производительным по сравнению с ПО, созданным самой группировкой. Кроме того, использование уже готового кода обходится намного дешевле, чем создание нового с нуля.

    Исследователи F-Secure сравнили недавно зафиксированную активность Pawn Storm с деятельностью группировки, стоящей за вредоносным ПО Carbanak, которое также базируется на коде Carberp. В результате эксперты пришли к выводу, что старый банковский троян по-прежнему «жив и брыкается».

    Образ действия Pawn Storm очень сложный и сочетает в себе несколько хитроумных техник распространения вредоносного ПО – использование искусных фишинговых писем со вложенными вредоносными документами Microsoft Office, web-сайтов, содержащих эксплоиты для уязвимостей нулевого дня, поддельных страницы авторизации Outlook Web Access и мошеннических расширений браузера.

    По данным F-Secure, загрузчик Sofacy, который играет роль полезной нагрузки для эксплоитов Pawn Storm, в последние несколько месяцев базируется на исходном коде Carberp. Он представляет собой небольшой DLL-файл, задача которого – соединение с C&C-сервером и загрузка дополнительных компонентов.

    Источник
     
    orderman, Kиpилл, Phoenix и 2 другим нравится это.

Поделиться этой страницей