Эксперты «Лаборатории Касперского» сообщили о кибергруппировке, которая атаковала банки, телекоммуникационных операторов и госучреждения в 40 государствах, включая Россию. Методы хакеров имеют сходство с тактикой киберпрестуников из Carbanak и GCMAN.
Чтобы проникнуть в корпоративные сети как минимум 140 организаций, злоумышленники пользовались лишь легитимным программным обеспечением и сохраняли любые вредоносные объекты в памяти системы. При этом они не оставляли следов своей активности на жестких дисках. Прежде всего, киберпреступники пользовались программным обеспечением для тестов на проникновение, инструментами администрирования и утилитами для автоматизации задач в Windows.
Кибергруппировка была обнаружена в конце минувшего года. Расследуя подозрительную активность в сети одного из банков, эксперты «Лаборатории Касперского» нашли в памяти сервера программу для тестирования на проникновение Meterpreter, которая теперь используется в преступных целях. Код Meterpreter был внедрен напрямую в память из реестра операционной системы посредством скриптов PowerShell, вследствие чего программа могла незаметно похищать пароли системных администраторов. По словам экспертов, злоумышленники хотели заполучить доступ к финансовым процессам банка.
Благодаря внедрению вредоносного кода в легитимную программу, киберпреступники могут избегать обнаружения с помощью метода «белых списков». Поскольку вредоносная программа присутствует только в памяти системы, у исследователей информационной безопасности нет доказательств и улик, базируясь на которых можно вести расследование.