Целью кибератаки "Операция Buhtrap" стали российские банки


ESET NOD32Эксперты компании ESET сумели раскрыть масштабную кибератаку "Операция Buhtrap", нацеленную на российский бизнес.

Напомним, "Операция Buhtrap" длилась минимум год. Приоритетной целью атаки стали российские банки. Например, согласно статистике, полученной с помощью системы ESET LiveGrid, около 88% заражений пришлось на пользователей из России.

Атакующие устанавливали вредоносное ПО на компьютеры, которые использовали в Windows русский язык по умолчанию. В качестве источника заражения выступал документ Word с эксплойтом CVE-2012-0158. Он рассылался в приложении к фишинговому письму. Так, один из обнаруженных образцов вредоносного документа имитировал счет за оказание услуг (файл под названием "Счет № 522375-ФЛОРЛ-14-115.doc"), второй – контракт мобильного оператора "Мегафон" ("kontrakt87.doc").

При открытии пользователем вредоносного документа на уязвимой системе, на ПК устанавливается NSIS-загрузчик. Сначала программа проверяет некоторые параметры Windows, а затем скачивает с удаленного сервера архив 7z с вредоносными модулями. Для обхода автоматических систем анализа и виртуальных машин, загрузчик устанавливает на ПК безвредный архив с Windows Live Toolbar.

Сами вредоносные модули представляют собой самораспаковывающиеся архивы формата 7z, защищенные паролем. При этом многие модули подписаны действительными цифровыми сертификатами, которые в настоящее время уже отозваны. Так, экспертами уже было обнаружено четыре сертификата, которые были выданы зарегистрированным в Москве юридическим лицам.

Для установления контроля над зараженным ПК, в "Операции Buhtrap" используются программы с исполняемыми файлами mimi.exe и xtm.exe. Эти файлы позволяют получить или восстановить пароль от Windows, создать новый аккаунт в операционной системе, включить сервис RDP.

Далее с помощью исполняемого файла impack.exe осуществляется установка бэкдора LiteManage, который позволяет атакующим удаленно управлять системой.

И лишь после этого на ПК будет загружено банковское шпионское ПО с названием исполняемого файла pn_pack.exe. Основное назначение программы - кража данных и взаимодействие с удаленным командным сервером. Непосредственно запуск программы выполняется с использованием известного продукта Yandex Punto.

Данное шпионское программное обеспечение способно:

  • отслеживать и передавать на удаленный сервер нажатие клавиш (кейлоггер) и содержимое буфера обмена;
  • перечислять смарт-карты, присутствующие в системе.


Говоря непосредственно о схеме заражения, она происходит следующим образом. Злоумышленники компрометируют один ПК компании, отправив сотруднику фишинговое сообщение с эксплойтом. Сразу же после установки вредоносной программы, атакующие воспользуются программными инструментами, с целью расширить свои полномочия в системе и выполнять другие задачи: компрометировать остальные компьютеры, шпионить за пользователем и отслеживать его банковские транзакции.


Обновлено (10.04.2015 11:28)