Вредоносные письма были отправлены небольшой группе предприятий в США, принадлежащих к разным секторам промышленности.
Восточноевропейская хакерская группировка FIN7 (также известная как Carbanak) взломала американские правительственные серверы для распространения вредоносных фишинговых писем, якобы отправленных от имениКомиссиипо ценным бумагам и биржам США (Securities and Exchange Commission, SEC). Об этом сообщили исследователи безопасности из команды Cisco Talos.
Проанализировав технологии, использовавшиеся при взломе, эксперты пришли к выводу, чтоатаки с большой долей вероятности являются делом рук хакерской группировки FIN7. В ходе фишинговой кампании хакеры использовали сложную технику взломаи рассылку, замаскированную под сообщения SEC об утечке финансовой информации избазы данных EDGAR.В письмах содержались вредоносные документы Microsoft Word.
По словам исследователя безопасности Крейга Уильямса (Craig Williams), данная вредоносная кампания была ориентирована наизбраннуюгруппупредприятий в США, принадлежащих к различным отраслям, включая финансовуюи страховуюсферы, а также секторинформационных технологий.
В данном случае действия злоумышленников черезвычайно сложно отследить из-за использования многоступенчатой цепочки заражения, эксплуатирующей функцию динамического обмена данными (Dynamic Data Exchange, DDE) в Microsoft Word для удаленного выполнения вредоносного кода. Кроме того, хакеры использовали команды DNS для установки скрытого соединения со скомпрометированным правительственным сервером,настроенном на автоматическую загрузку вредоносного ПО DNSMessenger на инфицированные компьютеры.
Вредоносные документы запрашивали файлы с сервера, расположенного в штате Луизиана (сервер был отключен как только стало известно об инциденте). На сервере хранился исходный код, используемый для доставки дополнительных элементов цепочки атак.
По словам экспертов, такой метод кибератаки весьма эффективендаже против крупных компаний или правительственных агентств. Несмотря на то, что Microsoft известноо проблемах в протоколе DDE, как правило использующемся для одноразовой передачи данных или непрерывного обмена обновлениями, компания так и не выпустила патч, исправляющий уязвимости.
Использование DNSMessenger также является примечательным, поскольку данное ПО запрограммировано на идентификацию администратора скомпрометированной сети, предоставляязлоумышленникам возможность получить информацию опотенциальных объектах атаки.
В последнее время FIN7 проявляет усиленную активность, и это только начало целой серии хакерских атак, предполагаютэксперты. Считается, что группировка базируется в Восточной Европе и состоит преимущественно из русскоязычных хакеров.
Напомним, ранее исследователи безопасности из компании ICEBRG сообщили о появлении в аресенале FIN7 новых техник доставки и обфускации вредоносного ПО.
Подписывайтесь на канал «SecurityLab» в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.
