Банки в Восточной Европе были атакованы с использованием методики DarkVishnya
Аналитики «Лаборатории Касперского» рассказали об атаках на банки, получивших название DarkVishnya.
Исследователи пишут, что в 2017-2018 годах их пригласили для изучения нескольких киберограблений, объединенных «общим знаменателем». Каждый раз стартовой точкой этих атак оказывалось неизвестное устройство, напрямую подключенное к локальной сети компании. В одних случаях это был центральный офис, в других – региональное отделение, иногда даже находящееся в другой стране.
Каждую такую атаку можно условно разделить на несколько идентичных этапов. На первом этапе злоумышленник под благовидным предлогом (курьер, соискатель на вакансию и так далее) проникал в здание организации и подключал устройство к локальной сети, например, в одной из переговорных комнат. По возможности, устройство пряталось или маскировалось под окружающую обстановку, чтобы не вызывать подозрений у сотрудников.
Использованные в DarkVishnya устройства могли варьироваться в зависимости от вкусов и возможностей злоумышленников. В изученных экспертами случаях это был один из трех инструментов:
- нетбук или недорогой ноутбук;
- одноплатный компьютер Raspberry Pi;
- специальный инструмент для проведения USB-атак Bash Bunny.
Внутри локальной сети такое устройство могло выглядеть как неизвестный компьютер, флеш-накопитель или даже как клавиатура. В сочетании с реальными размерами (так, Bash Bunny сопоставим по габаритам с обычной USB-флешкой) это серьезно осложняло поиск «точки входа». Для удаленного доступа к «подкидышу» использовался GPRS/3G/LTE-модем, встроенный в устройство или подключенный к нему через USB-порт.
На втором этапе злоумышленники удаленно подключались к своему устройству и сканировали локальную сеть организации в попытке получить доступ к папкам общего доступа, веб-серверам и любым другим открытым ресурсам. Целью был сбор информации о сети, в частности, поиск серверов и рабочий станций, задействованных в осуществлении платежей.
Одновременно злоумышленники пытались подобрать перебором или же перехватить данные, которые можно использовать для авторизации на одной из подходящих машин. Чтобы обойти накладываемые брандмауэром ограничения, они размещали shell-коды с локальными TCP-серверами. Если брандмауэр блокировал доступ из одного сегмента сети в другой, но разрешал обратное подключение, атакующие использовали различную полезную нагрузку, чтобы проложить туннель.
Когда эти поиски приносили плоды, злоумышленники переходили к третьему этапу. Они авторизовались в атакованной системе и использовали ПО для удаленного доступа, чтобы сохранить доступ к ней. Далее на захваченном компьютере запускались вредоносные сервисы, созданные с помощью msfvenom. Чтобы обойти «белые списки» и доменные политики, преступники использовали бесфайловые методики и PowerShell.
Если же «белые списки» обойти не удавалось, а использование PowerShell на атакованном компьютере было отключено, злоумышленники использовали impacket, а также winexesvc.exe и psexec.exe для удаленного запуска исполняемых файлов. Затем денежные средства выводились, например, через банкоматы.
Источник: https://xakep.ru/2018/12/06/darkvishnya/