Контакты
Подписка
МЕНЮ
Контакты
Подписка

Российские хакеры из Pawn Storm используют троян Carberp

Российские хакеры из Pawn Storm используют троян Carberp

Российские хакеры из Pawn Storm используют троян Carberp


10.09.2015



 Кибершпионы позаимствовали исходный код банковского вредоносного ПО шестилетней давности.

 По данным компании F-Secure, группа российских хакеров Pawn Storm, также известная как APT28, которая атакует военные и правительственные организации, взяла на вооружение старый банковский троян Carberp, тем самым еще более размыв грань между киберпреступностью и кибершпионажем.

 Главным инструментом этой группировки является вредоносное ПО Sednit или Sofacy, и не совсем понятно, зачем ей заимствовать код программы шестилетней давности. Возможно, использование Carberp стало наиболее быстрым решением для обхода детектирования, или собственные инструменты хакеров были обнаружены и внесены в базы данных. Также не исключено, что утекший в Сеть в 2013 году код Carberp оказался более производительным по сравнению с ПО, созданным самой группировкой. Кроме того, использование уже готового кода обходится намного дешевле, чем создание нового с нуля.

 Исследователи F-Secure сравнили недавно зафиксированную активность Pawn Storm с деятельностью группировки, стоящей за вредоносным ПО Carbanak, которое также базируется на коде Carberp. В результате эксперты пришли к выводу, что старый банковский троян по-прежнему "жив и брыкается".

 Образ действия Pawn Storm очень сложный и сочетает в себе несколько хитроумных техник распространения вредоносного ПО – использование искусных фишинговых писем со вложенными вредоносными документами Microsoft Office, web-сайтов, содержащих эксплоиты для уязвимостей нулевого дня, поддельных страницы авторизации Outlook Web Access и мошеннических расширений браузера.

 По данным F-Secure, загрузчик Sofacy, который играет роль полезной нагрузки для эксплоитов Pawn Storm, в последние несколько месяцев базируется на исходном коде Carberp. Он представляет собой небольшой DLL-файл, задача которого – соединение с C&C-сервером и загрузка дополнительных компонентов.

Источник:
securitylab.ru