25.08.2017
Ловушка для главбуха
Киберпреступники взломали популярные сайты для бухгалтеров и юристов. Их используют для дальнейшего заражения пользователей и кражи денег со счетов.
Рустам Миркасымов,
эксперт Threat Intelligence
Group-IB обнаружила масштабное заражение пользователей банковским трояном Buhtrap через популярные СМИ, сайты для бухгалтеров, юристов и директоров. Наша система Threat Intelligence фиксирует, как уже многие годы киберпреступники используют для заражения одни и те же ресурсы, но "дыры" так и не закрыты. Легкомысленное отношение к безопасности способствует распространению вирусов и кражам денег у пользователей. Ежедневно от подобных атак компании в прошлом году теряли 3,8 млн рублей.
В июне 2017 года у одной из столичных компаний похитили со счета деньги. Криминалисты Group-IB приехали в офис фирмы, взяли жесткий диск на экспертизу и провели криминалистическое исследование. Мы узнали, что в тот день сотрудник фирмы открыл браузер Internet Explorer и вбил запрос — "НДФЛ с доходов получаемых с иностранных компаний когда платить". Одна из ссылок вела на сайт www.glavbukh.ru. По хронологии видно, что в 03:16 пользователь открыл браузер, через какое-то время зашел на сайт glavbukh.ru, после чего, буквально через считанные секунды, в 03:29, уже сработал вредоносный скрипт, который в итоге загрузил на компьютер пользователя банковский троян Buhtrap. Преступники получили удаленный доступ к счету и вывели деньги.
Троян Buhtrap — нам был уже хорошо известен. Долгие годы он использовался разными преступными группами для кражи денег у компаний, банков. С августа 2015 по февраль 2016 группа Buhtrap совершила 13 успешных атак на российские банки, похитив 1,8 миллиарда рублей ($25 млн). В двух случаях сумма хищений в 2,5 раза превзошла уставный капитал банка.
В начале 2016 года исходные коды Buhtrap были опубликованы в открытом доступе на хакерском форуме, после чего программа стала использоваться в атаках на юридических лиц уже другими преступниками. Схема была похожа на ту, что мы наблюдали в случае с www.glavbukh.ru: пользователь заходил на взломанный легальный ресурс, с которого его в скрытом режиме перенаправляли на сервер с набором эксплойтов — и, если удавалось найти уязвимости в веб-браузере происходило исполнение PowerShell скрипта, который в свою очередь загружал уникальный загрузчик, который впоследствии загружал банковский троян. Но сначала он действовал по алгоритму: проверял, что зараженная машина интересна для дальнейшей эксплуатации – в частности, что с нее осуществляется работа с системами дистанционного банковского обслуживания (ДБО). Он осуществлял поиск исполняемых файлов ДБО, проверку директорий и истории веб-браузера. И только если хотя бы один из пунктов срабатывал, загружался Buhtrap.
Что произошло с Главбухом?
Расследуя июньский кейс, мы поняли, что при посещении сайта www.glavbukh.ru некоторым пользователям загружался банковский троян. Наши специалисты стали выяснять, откуда производилась загрузка вредоносного PowerShell-скрипта и довольно быстро нашли источник — ресурсы virtual-earth.de и tsitu.be. Фактически это сайты-пустышки, которые использовались преступниками. Используя специальные техники, мы выяснили, откуда еще шел трафик на эти ресурсы и установили 16 сайтов в России и на Украине. Этот список, конечно, неполный, но и он впечатляет: здесь и федеральные общественно-политические издания, и профильные сайты для бухгалтеров, юристов, директоров.
Трафик, то есть посетителей, с популярных сайтов на вредоносные ресурсы перенаправляют специальные люди — трафферы. Они могут зарабатывать и на серых схемах, когда направляют трафик на рекламные сайты (как было в случае с авиакомпаниями), и черных схемах, когда "льют траф" на вредоносные ресурсы, с которых загружаются трояны, ворующие деньги. Бизнес-трафик ценится дороже, так что если преступники хотят распространять банковский троян, им не нужен трафик с порно-сайтов, а нужны состоятельные посетители банковского ресурса — бухгалтера и юристы. А троян Buhtrap ориентирован именно на корпоративный сектор.
Трафик, то есть посетителей, с популярных сайтов на вредоносные ресурсы перенаправляют специальные люди — трафферы. Они могут зарабатывать и на серых схемах, когда направляют трафик на рекламные сайты (как было в случае с авиакомпаниями), и черных схемах, когда "льют траф" на вредоносные ресурсы, с которых загружаются трояны, ворующие деньги. Бизнес-трафик ценится дороже, так что если преступники хотят распространять банковский троян, им не нужен трафик с порно-сайтов, а нужны состоятельные посетители банковского ресурса — бухгалтера и юристы. А троян Buhtrap ориентирован именно на корпоративный сектор.
Пример объявления на подпольном хакерском форуме о продаже доступа к сайту Glavbukh в 2012 году.
Мы, как Threat Intelligence компания, наблюдаем, как уже многие годы киберпрестпуники используют для заражения одни и те же ресурсы. Например, еще в 2012 году на хакерских форумах продавали доступ к ресурсу Главбух за $5000. Продавец отмечал, что это качественный бизнес трафик — «50 000 пользователей и все бухгалтера». В 2014 году на форумах продавали доступ ко взломанному ресурсу Клерк.ру (мы предупреждали администрацию ресурса об этой опасности). В 2015 году ресурсы forum.glavbukh.ru и glavbukh.ru фигурировали в расследовании инцидентов — преступники заражали компании трояном Lurk. Разумеется, мы предупреждаем об этой опасности наших клиентов - банки, крупные компании, госорганы.
Заражения тем не менее продолжались. Почему так сложно детектировать и остановить траферов? Имея доступ к взломанному ресурсу, злоумышленники внедряют кусочек кода-скрипта, который перенаправляет пользователей на вредоносный сайт. Трафик льют не постоянно, а включают эту функцию на 1-3 часа в пиковые часы — это позволяет злоумышленникам оставаться незамеченными долгое время.
Но справиться с этим, разумеется, можно, регулярно проводя аудит всей своей IT-инфраструктуры. Особое внимание стоит обратить на: защищенность веб-ресурсов. 86% из них содержат как минимум одну критическую уязвимость. Наша позиция в этом вопросе довольно жесткая. Мы считаем, что пора вводить ответственность за безрассудное отношение к информационно безопасности. Ведь именно эти сайты способствовали распространению банковских троянов и хищению денег у их посетителей.
Заражения тем не менее продолжались. Почему так сложно детектировать и остановить траферов? Имея доступ к взломанному ресурсу, злоумышленники внедряют кусочек кода-скрипта, который перенаправляет пользователей на вредоносный сайт. Трафик льют не постоянно, а включают эту функцию на 1-3 часа в пиковые часы — это позволяет злоумышленникам оставаться незамеченными долгое время.
Но справиться с этим, разумеется, можно, регулярно проводя аудит всей своей IT-инфраструктуры. Особое внимание стоит обратить на: защищенность веб-ресурсов. 86% из них содержат как минимум одну критическую уязвимость. Наша позиция в этом вопросе довольно жесткая. Мы считаем, что пора вводить ответственность за безрассудное отношение к информационно безопасности. Ведь именно эти сайты способствовали распространению банковских троянов и хищению денег у их посетителей.
Хищения в ДБО
Первые масштабные хищения в системах ДБО начались в России в 2007 году. В прошлом году ежедневно происходило до 8 успешных атак, в результате которых в среднем злоумышленники похищали 3,8 млн рублей.
Россия стала мировым тестовым полигоном: 16 из 19 троянов для ПК, активно использовавшихся в дальнейшем для хищений по всему миру, связаны с русскоязычными преступниками. Масштабировать криминальный бизнес помог метод автозалива. Он позволял автоматически и совершенно незаметно для пользователя интернет-банка подменять реквизиты и сумму платежа.
Сейчас объем хищений у компаний с помощью троянов для ПК снижается — наиболее профессиональные преступные группы, на которые приходилась большая часть атак, переориентировались на целевые атаки на банки. Другие — набравшись, опыта, стали искать жертв за пределами России.
Россия стала мировым тестовым полигоном: 16 из 19 троянов для ПК, активно использовавшихся в дальнейшем для хищений по всему миру, связаны с русскоязычными преступниками. Масштабировать криминальный бизнес помог метод автозалива. Он позволял автоматически и совершенно незаметно для пользователя интернет-банка подменять реквизиты и сумму платежа.
Сейчас объем хищений у компаний с помощью троянов для ПК снижается — наиболее профессиональные преступные группы, на которые приходилась большая часть атак, переориентировались на целевые атаки на банки. Другие — набравшись, опыта, стали искать жертв за пределами России.
Кто виноват и что делать?
Понять, что его сайт скомпрометирован зачастую не сможет даже опытный администратор, не говоря уже о простом пользователе. Безусловно, если владельцы ресурса уделяют достаточное внимание вопросам безопасности, своевременно обновляют CMS и плагины, то риск компрометации значительно снижается. Но полностью исключить ее проведением простых профилактических мероприятий, к сожалению, нельзя. Это специальная и достаточно специфическая область знаний информационной безопасности, которая постоянно видоизменяется, ведь преступники не стоят на месте, постоянно придумывая новые способы проведения атак.
Для того, чтобы минимизировать риски компрометации веб-сайта мы предлагаем следующий комплекс мероприятий:
1
Проводить регулярное «техническое обслуживание» ресурса – своевременно устанавливать обновления, отслеживать корректность работы, регулярно проводить аудит информационной безопасности собственными силами или с привлечением сторонних специалистов.
2
Если у администратора нет базовых знаний по информационной безопасности, провести для него дополнительное обучение. Это позволит если не справиться с возникшей проблемой самостоятельно, то по крайней мере своевременно выявить ее наличие и начать принимать меры.
3
Если собственных знаний для решения проблемы недостаточно, то лучшим вариантом станет обращение к профессионалам – это может быть как консультация, так и заказ определенной услуги «под ключ». Чего категорически НЕ стоит делать, так это надеяться на то, что проблема «рассосётся» сама. Наша практика показывает, что вероятность такого исхода стремится к 0.
4
Для того, чтобы знать о готовящихся атаках заранее, необходимо выходить за пределы собственного периметра и получать информацию об угрозах, преступных группах, их тактике и используемых инструментах. Лучше всего это позволяет сделать система предупреждения киберугроз Threat Intelligence (киберразведка).
Помните, что от того, насколько внимательно и профессионально вы относитесь к подобным вопросам, зависит безопасность тех, кто вам доверяет: ваших клиентов, пользователей, читателей.
Для юридических лиц, работающих с системами ДБО, рекомендации могут быть следующие:
1
Своевременно обновляйте ПО – операционные системы, приложения, браузеры. Именно через уязвимости в браузере происходит заражение программой Buhtrap.
2
Правильно выстраивайте архитектуру сети, исходя из требований безопасности – компьютеры, которые работают с бухгалтерией, должны быть изолированы, а доступ по внешнюю сеть должен быть разрешен только по «белым спискам» (White lists).
Как выглядит атака:
краткий технический анализ
краткий технический анализ
Пользователь заходит на один из скомпрометированных сайтов: www.eurolab.ua, careerist.ru, www.smed.ru, lesstroy.net, www.klerk.ru, 1000.menu, www.nailclub.ru, medicus.ru, www.dobrota.ru, infored.ru, www.busiki-kolechki.ru, fastfwd.ru и др.
В результате им отдается страница, которая содержит ссылку на JS скрипт с также скомпрометированного сайта (virtual-earth.de или tsitu.be)
JS скрипт грузился с
https://virtual-earth.de/forum/js/validate.min.js
https://virtual-earth.de/forum/js/cookie.min.js
https://tsitu.be/forum/js/validate.min.js
JS скрипт в свою очередь либо редиректит на эксплоит с этого же скомпрометированного ресурса, либо и сам есть эксплоит (точно сказать нельзя, необходим доступ к скомпрометированному ресурсу). В любом случае собирается статистика запросов к зараженному объекту. В результате эксплуатации уявзимости в веб браузере происходит исполнение PowerShell скрипта, который в свою очередь загрузит уникальный загрузчик, который использовался только для загрузок троянов RTM и Buhtrap.
Загрузчик предварительно отстучит на https://virtual-earth.de/forum/cache/150.png для сбора статистики. Далее проверит, что зараженная машина интересна для дальнейшей эксплуатации (будет осуществлена проверка на работу с ДБО):
1) будет осуществлен поиск исполняемых файлов:
ipclient.exe,prclient.exe,rclient.exe,saclient.exe,SRCLBClient.exe,twawebclient.exe,
vegaClient.exe,dsstart.exe,dtpaydesk.exe,eelclnt.exe,elbank.exe,etprops.exe,eTSrv.exe,ibconsole.exe,kb_cli.exe, KLBS.exe,KlientBnk.exe,lfcpaymentais.exe,loadmain.exe,lpbos.exe,mebiusbankxp.exe,mmbank.exe,
pcbank.exe,pinpayr.exe,Pionner.exe,pkimonitor.exe,pmodule.exe,pn.exe,postmove.exe,
productprototype.exe,
quickpay.exe,rclaunch.exe,retail.exe,retail32.exe,translink.exe,unistream.exe,uralprom.exe,
w32mkde.exe,wclnt.exe,wfinist.exe,winpost.exe,wupostagent.exe,Zvit1DF.exe,BC_Loader.exe,
Client2008.exe,IbcRemote31.exe,_ftcgpk.exe,scardsvr.exe,CL_1070002.exe,intpro.exe,
UpMaster.exe,SGBClient.exe,el_cli.exe,MWClient32.exe,ADirect.exe,BClient.exe,bc.exe,ant.exe,
arm.exe,arm_mt.exe,ARMSH95.EXE,asbank_lite.exe,bank.exe,bank32.exe,bbms.exe,bk.exe,
BK_KW32.EXE,bnk.exe,CB.exe,cb193w.exe,cbank.exe,cbmain.ex,CBSMAIN.exe,CbShell.exe,clb.exe,
CliBank.exe,CliBankOnlineEn.exe,CliBankOnlineRu.exe,CliBankOnlineUa.exe,client2.exe,client6.exe,
clientbk.exe,clntstr.exe,clntw32.exe,contactng.exe,Core.exe,cshell.exe,cyberterm.exe,client.exe,
cncclient.exe,bbclient.exe,EximClient.exe,fcclient.exe,iscc.exe,kabinet.exe,SrCLBStart.exe,
srcbclient.exe,Upp_4.exe,Bankline.EXE,GeminiClientStation.exe,_ClientBank.exe,ISClient.exe,cws.exe,
CLBANK.EXE,IMBLink32.exe,cbsmain.dll,GpbClientSftcws.exe,Run.exe,SGBClient.ex,sx_Doc_ni.exe,
icb_c.exe,Client32.exe,BankCl.exe,ICLTransportSystem.exe,GPBClient.exe,CLMAIN.exe,ONCBCLI.exe,
CLBank3.exe,rmclient.exe,FColseOW.exe,RkcLoader.exe
2) будет осуществлен поиск директорий и файлов по регулярным выражениям:
*SFT,*Agava,*Clnt,*CLUNION.0QT,*5NT,*BS,*ELBA,*Bank,ICB_C,*sped,*gpb amicon,bifit,*bss,*ibank
3)будет осуществлен поиск в истории веб браузеров по регулярным выражениям:
*ICPortalSSL*,*isfront.priovtb.com*,*ISAPIgate.dll*,*bsi.dll*,*PortalSSL*,*IIS-Gate.dll*,*beta.mcb.ru*,*ibank*,*ibrs*,*iclient*,*eplat.mdmbank.com*,*sberweb.zubsb.ru*,*ibc*,
*elbrus*,*i-elba*,*clbank.minbank.ru*,*chelindbank.ru/online/*,*uwagb*,*wwwbank*,*dbo*,*ib.*
Если хотя бы на одном из пунктов будет найдено вхождение, то с http://tsitu.be/forum/attachment.php?id= https://virtual-earth.de/forum/attachment.php?atta.... будет загружен buhtrap Также известно, что используются объекты: https://virtual-earth.de/forum/authorize.php https://tsitu.be/forum/viewtopic.php?t= https://virtual-earth.de/forum/viewtopic.php?t=
CnC buhtrap:
vremyadeneg.info/viewtopic.php
mbizness.info/viewforum.php
talk.tula.su/viewtopic.php
talk.penza.su/viewforum.php
aleksin.ru.com/viewforum.php
akhtubinsk.ru.com/viewtopic.php
mbizness.info
moslenta.info
buhguru.info
cataloxy.info
plus-forum.info
regberry.info
gazeta-unp.info
В результате им отдается страница, которая содержит ссылку на JS скрипт с также скомпрометированного сайта (virtual-earth.de или tsitu.be)
JS скрипт грузился с
https://virtual-earth.de/forum/js/validate.min.js
https://virtual-earth.de/forum/js/cookie.min.js
https://tsitu.be/forum/js/validate.min.js
JS скрипт в свою очередь либо редиректит на эксплоит с этого же скомпрометированного ресурса, либо и сам есть эксплоит (точно сказать нельзя, необходим доступ к скомпрометированному ресурсу). В любом случае собирается статистика запросов к зараженному объекту. В результате эксплуатации уявзимости в веб браузере происходит исполнение PowerShell скрипта, который в свою очередь загрузит уникальный загрузчик, который использовался только для загрузок троянов RTM и Buhtrap.
Загрузчик предварительно отстучит на https://virtual-earth.de/forum/cache/150.png для сбора статистики. Далее проверит, что зараженная машина интересна для дальнейшей эксплуатации (будет осуществлена проверка на работу с ДБО):
1) будет осуществлен поиск исполняемых файлов:
ipclient.exe,prclient.exe,rclient.exe,saclient.exe,SRCLBClient.exe,twawebclient.exe,
vegaClient.exe,dsstart.exe,dtpaydesk.exe,eelclnt.exe,elbank.exe,etprops.exe,eTSrv.exe,ibconsole.exe,kb_cli.exe, KLBS.exe,KlientBnk.exe,lfcpaymentais.exe,loadmain.exe,lpbos.exe,mebiusbankxp.exe,mmbank.exe,
pcbank.exe,pinpayr.exe,Pionner.exe,pkimonitor.exe,pmodule.exe,pn.exe,postmove.exe,
productprototype.exe,
quickpay.exe,rclaunch.exe,retail.exe,retail32.exe,translink.exe,unistream.exe,uralprom.exe,
w32mkde.exe,wclnt.exe,wfinist.exe,winpost.exe,wupostagent.exe,Zvit1DF.exe,BC_Loader.exe,
Client2008.exe,IbcRemote31.exe,_ftcgpk.exe,scardsvr.exe,CL_1070002.exe,intpro.exe,
UpMaster.exe,SGBClient.exe,el_cli.exe,MWClient32.exe,ADirect.exe,BClient.exe,bc.exe,ant.exe,
arm.exe,arm_mt.exe,ARMSH95.EXE,asbank_lite.exe,bank.exe,bank32.exe,bbms.exe,bk.exe,
BK_KW32.EXE,bnk.exe,CB.exe,cb193w.exe,cbank.exe,cbmain.ex,CBSMAIN.exe,CbShell.exe,clb.exe,
CliBank.exe,CliBankOnlineEn.exe,CliBankOnlineRu.exe,CliBankOnlineUa.exe,client2.exe,client6.exe,
clientbk.exe,clntstr.exe,clntw32.exe,contactng.exe,Core.exe,cshell.exe,cyberterm.exe,client.exe,
cncclient.exe,bbclient.exe,EximClient.exe,fcclient.exe,iscc.exe,kabinet.exe,SrCLBStart.exe,
srcbclient.exe,Upp_4.exe,Bankline.EXE,GeminiClientStation.exe,_ClientBank.exe,ISClient.exe,cws.exe,
CLBANK.EXE,IMBLink32.exe,cbsmain.dll,GpbClientSftcws.exe,Run.exe,SGBClient.ex,sx_Doc_ni.exe,
icb_c.exe,Client32.exe,BankCl.exe,ICLTransportSystem.exe,GPBClient.exe,CLMAIN.exe,ONCBCLI.exe,
CLBank3.exe,rmclient.exe,FColseOW.exe,RkcLoader.exe
2) будет осуществлен поиск директорий и файлов по регулярным выражениям:
*SFT,*Agava,*Clnt,*CLUNION.0QT,*5NT,*BS,*ELBA,*Bank,ICB_C,*sped,*gpb amicon,bifit,*bss,*ibank
3)будет осуществлен поиск в истории веб браузеров по регулярным выражениям:
*ICPortalSSL*,*isfront.priovtb.com*,*ISAPIgate.dll*,*bsi.dll*,*PortalSSL*,*IIS-Gate.dll*,*beta.mcb.ru*,*ibank*,*ibrs*,*iclient*,*eplat.mdmbank.com*,*sberweb.zubsb.ru*,*ibc*,
*elbrus*,*i-elba*,*clbank.minbank.ru*,*chelindbank.ru/online/*,*uwagb*,*wwwbank*,*dbo*,*ib.*
Если хотя бы на одном из пунктов будет найдено вхождение, то с http://tsitu.be/forum/attachment.php?id= https://virtual-earth.de/forum/attachment.php?atta.... будет загружен buhtrap Также известно, что используются объекты: https://virtual-earth.de/forum/authorize.php https://tsitu.be/forum/viewtopic.php?t= https://virtual-earth.de/forum/viewtopic.php?t=
CnC buhtrap:
vremyadeneg.info/viewtopic.php
mbizness.info/viewforum.php
talk.tula.su/viewtopic.php
talk.penza.su/viewforum.php
aleksin.ru.com/viewforum.php
akhtubinsk.ru.com/viewtopic.php
mbizness.info
moslenta.info
buhguru.info
cataloxy.info
plus-forum.info
regberry.info
gazeta-unp.info
Если материал вам понравился, расскажите о нём друзьям!
Другие интересные статьи:
Узнавайте первыми
о новейших киберугрозах и расследованиях
*Нажимая «Подписаться», вы соглашаетесь на получение новостей компании,
защиту и обработку своих персональных данных в соответствии с ФЗ РФ
защиту и обработку своих персональных данных в соответствии с ФЗ РФ
Предотвращение
Реагирование
Расследование
Продукты
Threat Intelligence & Attribution
Threat Hunting Framework
Fraud Hunting Platform
Digital Risk Protection
Anti-Piracy
Threat Hunting Framework
Fraud Hunting Platform
Digital Risk Protection
Anti-Piracy
Компания
Связаться с нами
Круглосуточная линия +7 495 984-33-64
Электронная почта
info@group-ib.ru
info@group-ib.ru
Адрес офиса
Москва, улица Шарикоподшипниковская, д.1, БЦ «Прогресс Плаза», 9 этаж
Москва, улица Шарикоподшипниковская, д.1, БЦ «Прогресс Плаза», 9 этаж
