Хакеры Sednit нацелены на финансовые учреждения


ESET NOD32Специалистами компании ESET были обнаружены новые следы активности киберпреступной группы Sednit. Теперь для распространения вредоносных программ хакеры начали использовать новый набор эксплойтов.

Так, за последние пять лет, от "рук" группы Sednit пострадало большое количество различных организации преимущественно из Восточной Европы. Хакеры, с помощью фишинговых писем распространяли вредоносное ПО среди корпоративных пользователей. Эти письма содержали вложенные файлы Microsoft Word с распространенными эксплойтами, которые в свою очередь использовались для автоматической установки других вредоносных программ.

Например, исследователи из ESET, во время мониторинга Сети, столкнулись со случаем компрометации легитимных финансовых сайтов. Веб-страницы содержали вредоносный объект, перенаправляющий посетителей на набор эксплойтов. И лишь благодаря нашим собственным исследованиям, а также информации, предоставленной нам группой аналитиков из Google Security Team, удалось установить, что группа Sednit причастна к данной атаке. И если ранее группа специализировалась только на рассылке фишинговых сообщений с вредоносными вложениями, то в настоящее время хакерами стратегия была изменена.

Chast coda exploita uyazvimosti CVE-2014-1776

Часть кода эксплойта к уязвимости CVE-2014-1776 в браузере Internet Explorer 11, используемой в наборе эксплойтов группы Sednit

Проанализировав вредоносное содержимое, размещенное группой Sednit на сайте крупного финансового учреждения из Польши, специалисты ESET установили, что в одном из исследуемых объектов используется URL-адрес, похожий на адрес авторитетного новостного ресурса о военной промышленности. Сами же вредоносные объекты осуществляли перенаправление пользователей на набор эксплойтов, при помощи которых происходила установка на компьютер жертвы трояна Win32/Agent.WLF.

Стоит отметить, что в последние годы комплекты вредоносных программ (наборы эксплойтов) все чаще используются киберпреступниками. Их предназначение широко, например, для:

  • операций финансового мошенничества;
  • рассылки спама;
  • майнинга биткоинов;
  • кражи конфиденциальных данных пользователей.


Схема кибератак, которую используют Sednit, известна под названием "watering hole". В рамках данной атаки предполагается, что требуемый веб-ресурс будет скомпрометирован злоумышленниками, вызвав впоследствии многочисленное заражение устройств пользователей.


Обновлено (15.10.2014 01:36)