Меню
Изследователи в областта на киберсигурността съобщиха, че са открили първите атаки по веригата за доставка на софтуер с отворен код, насочени конкретно към банковия сектор.
„Тези атаки демонстрираха усъвършенствани техники, включително насочване към конкретни компоненти в уеб активите на банката жертва чрез прикачване на злонамерени функционалности към тях“, заяви Checkmarx в доклад, публикуван миналата седмица.
„Нападателите използваха измамни тактики, като например създаване на фалшив профил в LinkedIn, за да изглеждат надеждни, и персонализирани центрове за командване и контрол (C2) за всяка цел, използвайки законни услуги за незаконни дейности.“
Оттогава пакетите npm са докладвани и свалени. Имената на пакетите не бяха разкрити.
При първата атака се твърди, че авторът на зловредния софтуер е качил няколко пакета в регистъра npm в началото на април 2023 г., като се е представил за служител на целевата банка. Модулите са били снабдени със скрипт за предварителна инсталация, за да се активира последователността на заразяване. За да завърши измамата, стоящият зад заплахата хакер е създал фалшив профил в LinkedIn.
След като бил стартиран, скриптът определил операционната система на хоста, за да провери дали е Windows, Linux или macOS, и продължил да изтегля зловреден софтуер на втори етап от отдалечен сървър, като използвал поддомейн в Azure, който включвал името на въпросната банка.
„Атакуващият умело е използвал CDN поддомейните на Azure, за да достави ефективно полезния товар на втория етап“, казват изследователите от Checkmarx. „Тази тактика е особено хитра, тъй като заобикаля традиционните методи на забранителните списъци поради статута на Azure като легитимна услуга.“
Вторият полезен товар, използван при проникването, е Havoc – рамка с отворен код за командване и управление (C2), която все повече попада в полезрението на злонамерени участници, които искат да избегнат откриването, произтичащо от използването на Cobalt Strike, Sliver и Brute Ratel.
При несвързана атака, засечена през февруари 2023 г. и насочена към друга банка, противникът качва в npm пакет, който е „щателно проектиран да се впише в уебсайта на банката жертва и да остане неактивен, докато не бъде подтикнат да започне да действа“.
По-конкретно, той е бил разработен така, че тайно да прихваща данни за вход и да ги прехвърля към контролирана от извършителя инфраструктура.
„Сигурността на веригата за доставки се върти около защитата на целия процес на създаване и разпространение на софтуер, от началните етапи на разработката до доставката до крайния потребител“, заявиха от компанията.
„След като зловреден пакет с отворен код влезе в канала, той на практика представлява мигновен пробив и прави всички последващи мерки за противодействие неефективни. С други думи, щетите са нанесени.“
Разработката идва в момент, в който рускоезичната киберпрестъпна група RedCurl е пробила неназована голяма руска банка и австралийска компания през ноември 2022 г. и май 2023 г., за да измъкне корпоративни тайни и информация за служители като част от сложна фишинг кампания, съобщи руското подразделение на Group-IB, F.A.C.C.T.
„През последните четири години и половина рускоговорящата група Red Curl […] е извършила най-малко 34 атаки срещу компании от Обединеното кралство, Германия, Канада, Норвегия, Украйна и Австралия“, заявиха от компанията.
„Повече от половината от атаките – 20 – бяха извършени в Русия. Сред жертвите на кибершпионите са строителни, финансови и консултантски компании, търговци на дребно, банки, застрахователни и юридически организации.“
Финансовите институции също са били обект на атаки, при които се използва набор от инструменти за уеб инжектиране, наречен drIBAN, за извършване на неоторизирани трансакции от компютъра на жертвата по начин, който заобикаля механизмите за проверка на самоличността и за борба с измамите, приети от банките.
„Основната функционалност на drIBAN е двигателят ATS (Automatic Transfer System)“, отбелязват изследователите от Cleafy Федерико Валентини и Алесандро Стрино в анализ, публикуван на 18 юли 2023 г.
„ATS е клас уеб инжекции, които променят в движение легитимните банкови преводи, извършвани от потребителя, като променят получателя и прехвърлят парите към нелегитимна банкова сметка, контролирана от ТА или свързани лица, които след това отговарят за обработката и изпирането на откраднатите пари.“
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.
