ZeuS банктік трояны украина БҚ әзірлеушісінің сайты арқылы таралған

Crystal Finance Millennium (CFM) бухгалтерлік есепке арналған украина бағдарламалық қамтылымын әзірлеушінің ресми сайтын белгілі хакерлер ZeuS банктік троянының бір түрін тарату үшін пайдаланған. Бұл туралы Cisco Talos компаниясының қауіпсіздікті зерттеушілері хабарлады.

Мамандардың айтуынша, осы инцидент 2017 жылдың жазғы мерзімінде орын алған «Интеллект-сервис» компаниясының серверлерін бұзуға ұқсас, оның барысында M.e.doc бухгалтерлік БҚ-ға күшпен алушы NotPetya БҚ-ны пайдалана отырып, шабуылдарды жүзеге асыруға мүмкіндік берген бэкдор енгізілген болатын. Алайда, NotPetya-дан ерекше, ZeuS бұл нұсқасы осал сервер емес, құрбан электрондық пошта бойынша кіріктірілген құжат түрінде алатын зиянды БҚ-ны жүктегіштің көмегімен CFM компаниясының сайты арқылы таратылған болатын.

Шабуыл 2017 жылғы тамызда орын алды, бірақ зерттеушілер шабуылдың ауқымы мен оған байланысты құрбандар туралы ақпаратты қазіргі уақытта ғана жариялады. Зиянкестер жүктегіш ретінде іс-қимыл жасаған JavaScript файлымен ZIP-архив қамтылған электрондық хаттар арқылы зиянкесті таратқан, деп түсіндіреді сарапшылар. Зиянды пайдалы жүктемені орналастыру үшін пайдаланылатын домендердің бірі бұрын сондай-ақ күшпен алушы PSCrypt БҚ-ны таратуға пайдаланылған CFM web-сайтымен байланысты болды. Шабуыл барасында ZeuS 2.0.8.9 нұсқасы қолданылған.

Жүйеге еніп, зиянды бағдарлама үгілмелі ортаға түскенін тексереді, сонда болса – тоқтаусыз ұйықтау режимін іске қосады. Керсінше жағдайда зиянкес жүйе іске қосылған сайын орындалуын қамтамасыз ету үшін тізілімнің жазбасын құрады. Одан әрі зиянды БҚ сарапшылар инцидентті тексеруді бастаған кезде біреуі тіркелмеген түрлі C&C-серверлерге қосылуға әрекеттенеді. Аталған доменді тіркеген соң, зерттеушілер зиянкестің серверлермен өзара іс-қимыл жасау механизмдерін егжей-тегжейлі зерттеді.

Зерттеушілер зақымдалған жүйелердің басым бөлігі АҚШ пен Украинада орналасқанын анықтады. Зақымдалған жүйелердің ең көп саны «Укртелеком» провайдерінде тіркелді. Мамандар жалпы 3 216 бірегей IP-мекенжайларынан сервермен байланысуға жасалған 11 925 626 әрекетті айқындады.

«Зиянкестер ұйымдар мен бағдарламалық қамтылымды өндірушілер арасындағы сенімді қатынастарды өзінің мақсатына қол жеткізу құралы ретінде пайдалануы жиілеп келеді. Ұйымдар өздерінің желілік орталарын қорғау үшін барынша тиімді бақылау құралдарын енгізетіні себепті зиянкестер сәйкесінше өз әдістерін жетілдіруді жалғастыруда», деп қорытындылайды сарапшылар.

Ақпарат көзі: securitylab.ru