💰🚀 USDT, BTC, ETH - це все просто купляється в Trustee Plus в пару кліків. Встановлюй 👉
Наталя ХандусенкоГоряченькое
3 января 2024, 10:12
2024-01-03
Хакерская группировка UAC-0006 атакует украинские предприятия, в основном ориентирующиеся на бухгалтеров. Как происходит цепь поражения
Кибергруппа UAC-0006 занимает первое место в категории финансовых преступлений, совершая (попытки) похищения денежных средств со счетов украинских предприятий с помощью вредоносных программ в размере от одного миллиона гривен в неделю. Правительственная команда реагирования на чрезвычайные события Украины CERT-UA рассказала о разновидностях специализированных программ, с помощью которых хакеры получат несанкционированный доступ и дальнейшее скрытое управление инфицированным компьютером, а также привели пример цепи поражения.
«К сожалению, текущее состояние кибербезопасности предприятий, учреждений и организаций, несмотря на многочисленные публикации и информирование о киберугрозах, допускает чрезвычайно низкий уровень защищенности автоматизированных рабочих мест бухгалтеров, на которых фактически осуществляется управление финансами организаций на миллионы и миллиарды гривен. Незащищенность таких компьютеров может быть прямым свидетельством халатности руководителей организаций и специалистов соответствующих направлений, что в свою очередь и по вине последних непременно приводит к значительным материальным убыткам», — сообщают CERT-UA.
По имеющейся технической информации получение несанкционированного доступа и дальнейшее скрытое управление инфицированным компьютером осуществляется с применением по меньшей мере 13 разновидностей специализированных программ, в частности:
SMOKELOADER
LOADERX3
RMS
RDPWRAPPER
DANABOT
LUMMASTEALER
REDLINESTEALER
SYSTEMBC
TALESHOT
PIEJET
LOADNEST
HANGTHREAD
BACKSTAB
AUKILL
Как работает схема хакеров
В общем, после первичного поражения ЭВМ и доставки SMOKELOADER последний используется для загрузки и запуска на ЭВМ других программ и модулей. Несмотря на точечность рассылок (в основном они уже ориентированы на бухгалтеров), обнаружение «бухгалтерских» ЭВМ, в частности, осуществляется с помощью TALESHOT путем анализа названий окон и процессов программ, функционирующих на компьютере (список ниже), и регулярной отправки скриншотов злоумышленникам для наблюдение и принятие решения.
iBank2 ru
iFOBS
CABiNET
Интернет банкинг
Сбербанк
БАНК
Piraeus
Интернет-банкинг
Sense Bank
Онлайн Банкинг
iSign Desktop
A24
Банк Кредит Днепр
Приват24 для бизнеса
bank
CorpLight
Sense
Укргазбанк
click
ifobsclient.exe
clibankonlineua.exe
В случае, если ЭВМ интересна для злоумышленников (по названию финансового учреждения, размеру остатков на счетах и т.п.) на ЭВМ догружается сборка RMS + LOADERX3 + RDPWRAPPER, предоставляющая возможность злоумышленнику в интерактивном скрытом режиме удаленного рабочего стола (параллельно с легитимным пользователем) потенциальную жертву. Одновременно количество таких «перспективных» компьютеров, за которыми ведется наблюдение, составляет несколько десятков ЭВМ.
После принятия решения о возможности угона денежных средств осуществляется подготовка цепи для вывода средств (определение подставных промежуточных фирм, «дропов» и т. п.). В зависимости от обстоятельств, оператор может либо самостоятельно формировать несанкционированный платеж, либо изменять реквизиты в уже подготовленном и отправленном на подпись директору документе.
После отправки платежки в банк с целью маскировки/выигрывания времени ЭВМ может быть выведен из строя путем запуска специализированных программ, в частности, HANGTHREAD, что фактически осуществит DoS (отказ в обслуживании), то есть исчерпает вычислительную мощность и приведет к постоянному «зависанию» комп. компьютера.
Часть группировки, ответственная за получение похищенных денежных средств, может прибегать к коммуникации с сотрудниками банка, предоставляя поддельную информацию, в т. ч. документы, якобы удостоверяющие легитимность платежей.
Почему бухгалтеры
Рабочее место бухгалтера, по определению, предусматривает обработку большого количества входящих электронных писем, в т. ч., полученных в обход возможного периметра защиты по электронным адресам сторонних сервисов. Кроме того, с такого компьютера осуществляется взаимодействие с различными информационными системами, что в совокупности требует наличия доступа к сети Интернет.
«Для уменьшения вероятности реализации киберугрозы ЭВМ бухгалтеров требуют принятия отдельных технических мер, в первую очередь ограничения возможности запуска исполняемых файлов и скриптов (желательно, по принципу „белого“ списка) с использованием штатных технологий операционных систем Windows, таких как SRP или AppLocker. Обидно, но бывают случаи, когда на ЭВМ с миллионными платежками нет даже средства защиты от вредоносных программ („антивируса“)», — отмечает CERT-UA.
УЧАСТЬ В АЗАРТНИХ ІГРАХ МОЖЕ ВИКЛИКАТИ ІГРОВУ ЗАЛЕЖНІСТЬ. ДОТРИМУЙТЕСЯ ПРАВИЛ (ПРИНЦИПІВ) ВІДПОВІДАЛЬНОЇ ГРИ.
Ліцензія видана ТОВ "СЛОТС Ю.ЕЙ." на провадження діяльності з організації та проведення азартних ігор казино у мережі Інтернет від 15.09.23 (рішення КРАІЛ №245 від 31.08.2023); ТОВ "СЛОТС Ю.ЕЙ." – на провадження діяльності з організації та проведення азартних ігор казино у мережі Інтернет від 26.04.2021 (рішення КРАІЛ №150 від 12.04.2021); ТОВ «СПЕЙСИКС» – на провадження діяльності з організації та проведення азартних ігор казино у мережі Інтернет від 08.02.2021 (рішення КРАІЛ №34 від 02.02.2021); ТОВ «ГЕЙМДЕВ» – на провадження діяльності з організації та проведення азартних ігор казино у мережі Інтернет від 16.02.2021 (рішення № 47 від 10.02.2021).