☭ Gov-Cert палит трояны и пишет письма

Posted: 2019-08-14 in IT
Метки:,

Недавно одному клиенту вышележащий провайдер переслал одно интересное абузное письмо.

От: GOV-CERT.RU
Тема: Уведомление о зараженной ВПО ПЭВМ – [GOV-CERT.RU#]

Добрый день!

НКЦКИ располагает подтвержденными сведениями о внедрении ВПО типа
Trojan-Banker.Win32.RTM на объект, находящийся в адресном пространстве
вашей компании.

В период с 11 июня по 18 июля зафиксированы факты взаимодействия
представленного во вложении IP-адреса с центром удаленного управления
(C&C). Для получения IP-адресов C&C ВПО осуществляет запрос по адресу
hxxps://chain[.]so/api/v2/get_tx_received/BTC/ (IP-адреса 104.25.48.99,
104.25.47.99). В ответе содержится набор транзакций на счет криптокошелька.

Просим довести данные сведения до владельца указанного объекта для
принятия мер по реагированию на компьютерный инцидент.

О проведенных мероприятиях просим проинформировать.

С уважением,
Команда Национального координационного центра по компьютерным инцидентам
Сайт — http://cert.gov.ru/
Почта — gov-cert@gov-cert.ru
Телефон: +7 (916) 901-07-42

Chain.so — это вообще-то эксплорер по самым распространённым криптовалютам.
Конечно, там мог притулиться и C&C, но это совсем уж наглость, размещать C&C
на публичном проекте.

Современные трояны много чего умеют,
но зачем банкеру лазить в блокчейн — не очень понятно.
Такое поведение больше характерно для вирусов-шифровальщиков.

Тем не менее, gov-cert считает эту активность 100% относящейся к банковскому трояну
Trojan-Banker.Win32.RTM.

Обычно подобные письма раньше присылали всякие иностранные секурити-конторы
или автоматизированные IDS-системы. Оказывается, в России тоже создан такой центр,
и судя по письмам — даже начал заниматься чем-то внятным.

Сам троян Trojan-Banker.Win32.RTM тоже весьма интересен:

Троянец-банкер Arnold: TwoBee или не TwoBee

Его ключевая идея — подмена реквизитов для безналичной оплаты в файле обмена данными между банк-клиентом и 1С.
Дело в том, что при большом потоке документов на оплату интеграция банка и 1С обычно настраивается один раз классическим методом через текстовый файлик обмена данными, и забывается надолго. И вот этот вирус как раз таки мониторит обращения к этому файлу, и вместо реквизитов компании-получателя подставляет реквизиты мошенника-однодневки.

Техника весьма изящная и непалевная — с точки зрения банка, просто появляются платежи на новые реквизиты. С точки зрения 1С нечего не меняется — файл переписывается позже и другим процессом. С точки зрения антивируса — всё ок, клиентский софт переписал один-единственный текстовый файлик.

Активность в сторону chain.so выглядит на этом фоне особенно странно. Получается, либо gov-cert ошибся, либо там действительно приютился C&C, либо троян не только пиздит деньги из банк-клиента, но и готовится причинить жертве ещё более серьёзные проблемы. Была мысль, что это анализ именно криптовалютной активности (гэбня роет под юзеров крипты ?!), но для неё нет надёжных подтверждений на текущий момент.
Но есть ещё один весьма логичный вариант — вирусы научились хранить в блокчейне инфу о новом расположении C&C ! Это весьма новая техника для обеспечения доступности C&C, и если это так — мне крайне любопытно получить подтверждение этому, это мощное и очень красивое решение.

Вообще Gov-CERT создан для защиты государственных IT-систем ещё в 2012-м, и курирует его ФСБ.

Тем удивительнее было обнаружить, что они не ограничились защитой только госов и своей внутренней кухней, но и начали участвовать в информировании пострадавших о заражениях.
При этом они смогли избежать тёмного соблазна использовать всякие крипто-про и отечественную крипту в паблике — как и все нормальные cert-ы, используют для подписания писем PGP-ключ с вот таким iD: 4D72 E5BD EA7F 046E 6C33 FB86 B6B8 3E23 25D8 A13B , который выложен у них в контактах.

Что и разумно — гостайной и персданными инфа о червиях не является, а использовать устоявшиеся стандарты для защиты почты более чем логично.

Но само событие более чем любопытное, на него стоит обратить внимание — гос-CERT шлёт письмо провайдеру, что у него есть заражённый банковским трояном клиент, но в качестве примера активности указываются коннекты к блокчейн-эксплореру.

Вот такая вот странная фигня случилась. Если узнаю ещё чего интересное — добавлю в заметку.

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход /  Изменить )

Google photo

Для комментария используется ваша учётная запись Google. Выход /  Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход /  Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход /  Изменить )

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.