Търсене
Close this search box.

Банковият сектор е обект на атаки през веригата за доставки на софтуер с отворен код

Изследователи в областта на киберсигурността съобщиха, че са открили първите атаки по веригата за доставка на софтуер с отворен код, насочени конкретно към банковия сектор.

„Тези атаки демонстрираха усъвършенствани техники, включително насочване към конкретни компоненти в уеб активите на банката жертва чрез прикачване на злонамерени функционалности към тях“, заяви Checkmarx в доклад, публикуван миналата седмица.

„Нападателите използваха измамни тактики, като например създаване на фалшив профил в LinkedIn, за да изглеждат надеждни, и персонализирани центрове за командване и контрол (C2) за всяка цел, използвайки законни услуги за незаконни дейности.“

Оттогава пакетите npm са докладвани и свалени. Имената на пакетите не бяха разкрити.

При първата атака се твърди, че авторът на зловредния софтуер е качил няколко пакета в регистъра npm в началото на април 2023 г., като се е представил за служител на целевата банка. Модулите са били снабдени със скрипт за предварителна инсталация, за да се активира последователността на заразяване. За да завърши измамата, стоящият зад заплахата хакер  е създал фалшив профил в LinkedIn.

След като бил стартиран, скриптът определил операционната система на хоста, за да провери дали е Windows, Linux или macOS, и продължил да изтегля зловреден софтуер на втори етап от отдалечен сървър, като използвал поддомейн в Azure, който включвал името на въпросната банка.

„Атакуващият умело е използвал CDN поддомейните на Azure, за да достави ефективно полезния товар на втория етап“, казват изследователите от Checkmarx. „Тази тактика е особено хитра, тъй като заобикаля традиционните методи на забранителните списъци поради статута на Azure като легитимна услуга.“

Вторият полезен товар, използван при проникването, е Havoc – рамка с отворен код за командване и управление (C2), която все повече попада в полезрението на злонамерени участници, които искат да избегнат откриването, произтичащо от използването на Cobalt Strike, Sliver и Brute Ratel.

При несвързана атака, засечена през февруари 2023 г. и насочена към друга банка, противникът качва в npm пакет, който е „щателно проектиран да се впише в уебсайта на банката жертва и да остане неактивен, докато не бъде подтикнат да започне да действа“.

По-конкретно, той е бил разработен така, че тайно да прихваща данни за вход и да ги прехвърля към контролирана от извършителя  инфраструктура.

„Сигурността на веригата за доставки се върти около защитата на целия процес на създаване и разпространение на софтуер, от началните етапи на разработката до доставката до крайния потребител“, заявиха от компанията.

„След като зловреден пакет с отворен код влезе в канала, той на практика представлява мигновен пробив и прави всички последващи мерки за противодействие неефективни. С други думи, щетите са нанесени.“

Разработката идва в момент, в който рускоезичната киберпрестъпна група RedCurl е пробила неназована голяма руска банка и австралийска компания през ноември 2022 г. и май 2023 г., за да измъкне корпоративни тайни и информация за служители като част от сложна фишинг кампания, съобщи руското подразделение на Group-IB, F.A.C.C.T.

„През последните четири години и половина рускоговорящата група Red Curl […] е извършила най-малко 34 атаки срещу компании от Обединеното кралство, Германия, Канада, Норвегия, Украйна и Австралия“, заявиха от компанията.

„Повече от половината от атаките – 20 – бяха извършени в Русия. Сред жертвите на кибершпионите са строителни, финансови и консултантски компании, търговци на дребно, банки, застрахователни и юридически организации.“

Финансовите институции също са били обект на атаки, при които се използва набор от инструменти за уеб инжектиране, наречен drIBAN, за извършване на неоторизирани трансакции от компютъра на жертвата по начин, който заобикаля механизмите за проверка на самоличността и за борба с измамите, приети от банките.

„Основната функционалност на drIBAN е двигателят ATS (Automatic Transfer System)“, отбелязват изследователите от Cleafy Федерико Валентини и Алесандро Стрино в анализ, публикуван на 18 юли 2023 г.

„ATS е клас уеб инжекции, които променят в движение легитимните банкови преводи, извършвани от потребителя, като променят получателя и прехвърлят парите към нелегитимна банкова сметка, контролирана от ТА или свързани лица, които след това отговарят за обработката и изпирането на откраднатите пари.“

Източник: The Hacker News

Подобни публикации

30 май 2024

Измамата "Безплатно пиано"

Мащабна фишинг кампания използва необичайна примамка, за да спечели...
30 май 2024

OmniVision призна за атака с рансъмуер

Гигантът в областта на производството на полупроводници OmniVision ...
29 май 2024

Пуснат е експлойт за FortiSIEM с максимална тежест

Изследователи в областта на сигурността публикуваха доказателство з...
29 май 2024

Операторът на NYSE Intercontinental Exchange по...

Миналата сряда Комисията по ценните книжа и фондовите борси на САЩ ...
29 май 2024

Рутерът за игри TP-Link Archer C5400X е уязвим

Рутерът за игри TP-Link Archer C5400X е уязвим към пропуски в сигур...
29 май 2024

Christie's потвърждава пробив от RansomHub

Christie’s потвърди, че е претърпяла инцидент със сигурността...
28 май 2024

Потребителите на блокери на реклами имат пробле...

Много потребители съобщават, че видеоклиповете в YouTube автоматичн...
Бъдете социални
Още по темата
28/05/2024

Хакерите се насочват към VP...

Заплахите се насочват към VPN устройствата...
27/05/2024

Атаките от типа "нулев ден"...

Атаките от типа „нулев ден“ продължават...
25/05/2024

Хакери избягаха с 3 000 гал...

Почти всеки ден новинарските агенции съобщават...
Последно добавени
30/05/2024

Измамата "Безплатно пиано"

Мащабна фишинг кампания използва необичайна примамка,...
30/05/2024

OmniVision призна за атака ...

Гигантът в областта на производството на...
29/05/2024

Пуснат е експлойт за FortiS...

Изследователи в областта на сигурността публикуваха...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!