Кібергрупа UAC-0006 атакує українські підприємства. CERT-UA опублікували індикатори кіберзагроз, а також приклад ланцюга ураження
Урядова команда реагування на комп’ютерні надзвичайні події CERT-UA опублікувала актуальну інформацію щодо діяльності угруповання UAC-0006.
«UAC-0006 посідає перше місце в категорії фінансових злочинів, здійснюючи (спроби) викрадення коштів з рахунків українських підприємств за допомогою шкідливих програм у розмірах від одного мільйону гривень на тиждень», — зазначили у CERT-UA і додали, що зараз ціллю кібератак для UAC-0006 часто є компʼютери бухгалтерів.
На сайті опублікували індикатори кіберзагроз (файли, мережеві й хостові), а також приклад ланцюга ураження.
💻 Які програми використовують
За інформацією CERT-UA, отримання несанкціонованого доступу та подальше приховане управління інфікованим ЕОМ відбувається із застосуванням щонайменше 13 різновидів спеціалізованих програм, зокрема:
— SMOKELOADER
— LOADERX3
— RMS
— RDPWRAPPER
— DANABOT
— LUMMASTEALER
— REDLINESTEALER
— SYSTEMBC
— TALESHOT
— PIEJET
— LOADNEST
— HANGTHREAD
— BACKSTAB
— AUKILL
Після первинного ураження компʼютера чи ноутбука і доставки SMOKELOADER, останній використовується для завантаження і запуску на інших програм та модулів. Незважаючи на точковість розсилок (здебільшого, вони вже орієнтовані на бухгалтерів), зловмисники виявляють «бухгалтерські» ЕОМ за допомогою TALESHOT та шляхом аналізу назв вікон та процесів програм, що функціонують на комп’ютері (список нижче).
— iBank2 ua
— iFOBS
— CABiNET
— Інтернет банкінг
— Ощадбанк
— БАНК
— Piraeus
— Інтернет-банкінг
— Sense Bank
— Онлайн Банкінг
— iSign Desktop
— A24
— Банк Кредит Дніпро
— Приват24 для бізнесу
— bank
— CorpLight
— Sense
— Укргазбанк
— click
— ifobsclient.exe
— clibankonlineua.exe
💻 Як відбувається викрадення коштів
Якщо ЕОМ є цікавою для зловмисників (за назвою фінансової установи, розміром залишків на рахунках тощо), на компʼютер довантажується збірка RMS + LOADERX3 + RDPWRAPPER, що надає можливість зловмиснику в інтерактивному прихованому режимі віддаленого робочому столу (паралельно з легітимним користувачем) детально проаналізувати потенційну жертву. Одночасна кількість таких «перспективних» комп’ютерів, за якими ведеться спостереження, складає кілька десятків ЕОМ.
Після прийняття рішення щодо можливості викрадення коштів здійснюється підготовка ланцюга для їх виведення (визначення підставних проміжних фірм, «дропів» тощо). Залежно від обставин, оператор може або самостійно формувати несанкціонований платіж, або змінювати реквізити у вже підготовленому та відправленому на підпис директору документі.
Після відправки платіжки в банк з метою маскування/вигравання часу ЕОМ може бути виведено з ладу. Для цього зловмисники запускають спеціалізовані програми — зокрема, HANGTHREAD, що спричинить DoS, вичерпає обчислювальну потужність та призведе до постійного «зависання» комп’ютера.
Частина угруповання, відповідальна за отримання викрадених грошових коштів, може вдаватися до комунікації зі співробітниками банку, надаючи підроблену інформацію (наприклад, документи, які нібито засвідчують легітимність платежів).
«Робоче місце бухгалтера передбачає обробку великої кількості вхідних електронних листів, в тому числі й отриманих в обхід можливого периметру захисту на електронні адреси сторонніх сервісів. Також з цього комп’ютера відбувається взаємодія з різномантіними інформаційними системами, що потребує постійного доступу до інтернету.
ЕОМ бухгалтерів потребують окремих технічних заходів. Щонайперше, обмеження можливості запуску виконуваних файлів та скриптів (бажано, за принципом „білого“ списку) з використанням штатних технологій операційних систем Windows, таких як SRP або AppLocker. Прикро, але трапляються випадки, коли на ЕОМ з мільйонними платіжками немає навіть засобу захисту від шкідливих програм („антивірусу“)», — додають у команді CERT-UA.
4 коментарі
Додати коментар Підписатись на коментаріВідписатись від коментарів