COBALT Логические атаки на банкоматы


Чтобы посмотреть этот PDF файл с форматированием и разметкой, скачайте его и откройте на своем компьютере.
COBALT
 

 
group-ib.ru

\f  \n\t\b
\n   
  
\t  Buhtrap
\r
\r\n
group-ib.ru
  2016     \r \f \f\f
\n\r 34 \t\f\r\n \f  \b\r\f \n\f\r
\t\f\r First Bank, \f  \t 83.27 \f \n\f\r
 (\t 2 \f  ).
 
  ,       \r,
\f\f   \n\f\t\b\f .
  \r \f\t\f \t \f, \n,  \r
\t\f\r\n, \r  \f\r  \t\f \n\f,
  \n \t \r  \f\r, \r\n
  \n\n\r. \r «\t\r\f\n\r\n\f» \n\r \f
\t\f\r\n   \f \n .
  \n  \f\f  \t \f
12\b\f \t\n (\r 350 \n  )
 \b21\b\t\f\r\n Government Savings Banks  \f.
\b\f\n\t \t\f \n\r \t \r\f   ,
\f\r \f \f \t \f \r.
 \f \r\t\n\f\r \n \f\n \n
 \r \n\r \f \t\f\r\n: \r\f, \f, \n
\r\n (card trapping), \r     \t\f\r\n \n
\f . ­\f\r   \r  \n
\n\f\r \n  \f\n \t\n  \f
\n\r  \n\f \t\f\r\n, \n  €\n \f
.
 \n\t \n
\n  \b   
 \t \n, \n\r 
­\t   .
group-ib.ru
  \f\r \f
\b\f\f  
 \t\r \f  \f   \f\b  \f \r
\t  \f
. ‚ \f\f \r\f \f
\f\f\n \n \f\f\n,  \f \n\f\f
 \n \t\n \f  \r.
ƒ \f \r\f\n \f \n \t\f\r\n, \n\f\r
\n \t\n \f  , \r \n \f
 \r,    \n\n \t \n \n\n
\f , \r\r €\n   First Bank. ‚ \b€\n
\f \n\r \n\r \f \n\t\n \n  \t\n\r
\f \f \t\f: \r\r \b \f\n 
\n\n,
\t\f \f\t\b \f \f
\n .
„  , \r\r \f  \n \n\f
 \n \n \r \t\f\r\n, \n\r \f\n\f\f
\f\n\r\n \t\f\r  \n\f …\f  \n\f
 , †   \n\r-\r\f\r \f.
\n \t‚
   , \n
 \b\r\b  \b \r \t 
\n    .
group-ib.ru
\f  \n\t\b
‚\n\f , \r\n  \f  Cobalt  \b\n\n\n
    \r,
 \f  \f 2016

. ­\f\f ‡ \n\f  \n \f\n
 \f \t\f\r\n.
ƒ\n­ 
‚ \n\f \f \f\n\t 2016  Cobalt \n\r \t\f\r
 ˆ, \r\t\n\f, \f, ƒ\f, ˆ\f,
‰, ‚, Š\n\f, ‰, † , ‹,
Œ , \f  ‹ .
\n\n
„ \f\f \f\r\f\f  \f\n\f\f \n
\t\f\r  \n
  \f\f \f
\n  \f.
Ž\f  \n
\n ‡  \r ‡\f\n\f \t\f\r,  \n
\t\f\r\n Wincor Nixdorf  \n \f \f\f \t\f\r.
 \r\n \f\f \f, \n\r  \n
\r\f\n  €\r\n,  \n\r   \f
    .
 \f\f \n\r \r \f   
 \n\f   \n\f\f\f \n
\f\f\f \r  «‚\r v.2.0.» (
\f \f : «alexusMailer v2.0»),  \t\n\f\f
\r ‡\n.
\n\n \n\n\n, \n
  \f\t \f \f\b\f
\f  \f\f
,   \n  \r\f
\t\f\r  \f\r   \f \f \n.
group-ib.ru
\n\r 
\b \r \b\f
  \f \n\f
\f \t\f  \n\n \f \f\r\f\f\b–
Cobalt Strike. „ \r\n‡ \f\f  \r\f
\n\f  \n\f\r   \n\n
Mimikatz  \t\r \r\f‡ \r\f\n \f.
\f  \n\t\b
\f\f \f \f\f \f \f \f \f
   \f\f , \f\t\b
\r Buhtrap
, \r\n  \n 2015 \b\f 2016 \n
 \n \r \t\f\r \t 1,8  \t ( \f 
\t\f \r   \n 2016).
‚ \f  ‡, \f \t\f
\f\f \f\f \n   2016, \t\n-\n Buhtrap
\t \f  ‡, \r\n \n \n\r\n
\r\f ˆ  \r\f.
‹\f \n, \n
 \f\f \t \f
Buhtrap    Cobalt
, \n \f \f \n\f,
\r\n\r Buhtrap \n \r \f \n\r \f \t\f\r\n.
„ \b  \r\b
…\n\n\b \r \b\r
…10…\b \r 1 \r
group-ib.ru
\f  \n\t\b
  
„ \f‡‡  \f \t\f\r\n  \n
\f\f ,   \n\f\n\f \f\r‡
 \f\n XFS  XFS Manager (eXtensions for Financial
Services). ‚ \r\f  \f\n\f\f \n \t\f\r

\b  ,     
\f 
‚ \r \f ‡   \f\f
 \n ‡\f  (  \f «disp.
txt»)  \f‡  \r\n \t\f\r\f\n, \f\f  \r
\r\n. ­\n \n €\n\n - \f \n \n\r,
\r\n  \n \f\f \f \b
 \f
\f\f\f
‚  \f    \f \t\f\r\n
\f\n\n   \f \f  \t\n\f
group-ib.ru
\f  \n\t\b
\r
‘\r \n\r \f \n  \n\n\n \f  \f
€\n   \n. „ €\n \f\t:
 \n ‡\f \n \t\f\f
‡\f\f\f \n\r,
\n\n  \n\f  \f \f\r
\f   \f\f ,
\n\n \f \f \n  \f\n\f\n
\n\r   \r\t \r (threat intelligence).
\f  \f\f  \f   
  \f\t \f\t \f\f\f.
\n\n\f \f \n \n \r \n, \n
\n\f\r, \f\n \f  \n, \f\n \r\f\n
\f \n   \r\f\f \n \t\n \n\f\f ‡
group-ib.ru
­\f\f \t \f\r\f\f  \t\f\r\r \n
\n \n\r \f   \f, \r\n
\n €\r\n \b\f     .
 \f\f \f\t   \f\f ­\r \t
, \f\b\f  Wincor Nixdorf \f\f  \f\f
\f\t .
\n \f \n, \n   \n\n \r \f
‡\f \f  \r ‡\f\n\f \t\f\r, Wincor
Nixdorf,  \n\r \f\r\n \f\f \t\f\r, \b\n\n\f\n
 \n   \b\f \t\f, \r\n
 \f  \n\n, \b\t\f\r \b \n \t\f\r\n
\f\b \f\r\r \n\f\f \r €\n \r.
 \f  \n\r \f    \n
\f\f\f \r  «‚\r v.2.0.» ( \f \f
: «alexusMailer v2.0»),  \t\n\f\f \r
‡\n.
\b   \f \f\f \f \f
\f\t\b\t \b \f Cobalt Strike,
 \r\n\b \r
 .
 1.
\f\t  \f\f ­\r \t 
group-ib.ru
\f\t  \f\f
Wincor Nixdorf
 3.
\f\t  \f\f
 
 4.
\f\t  \f\f
\f\r 
group-ib.ru
­\n\r  \n     IP 
88.212.208.115  5.101.124.34.
€    ‚\f\f.
‚ \n\f\r \n\r \f\f  \n\r \f\f
\n  Buhtrap, \r\n  \n 2015  \f 2016
\n  \r \t\f\r \t 1,8  \t ( 
\n\r  \f\n\f\n  \t\f \r   \n\n).
2016 \r
    

 \n    Buhtrap
 
\t\b\b \b \n
 \n\b \b\b
 
 \b\r\b\r   \n

\f\b  \b
\f\n\b\b, \b\b, \b,
\n\b\b

\f\b  \b \b\b, \b\b, \n \b\b,
\b\b\b\b, \b, \b\b, \b\b,
\b, \b\b\b\b,  \r\b\b
\r 
«Buhtrap: ƒ\f
 
group-ib.ru/reports
group-ib.ru
„ \n\f\f \f\f   \t\f\r
 \r \f\n \n\f\r  
\f  \f «„_\f\f2016.zip»
 «\r \r\f\n.doc». „ \f \n\r 
 \n\f \f    «The rules for
European banks.doc» \b«Bitcoin ATM’s.doc».
„\f\t
\f \f   \f\f ­\r
\t , \b\r   2016 .
‚  \n\n   \r \f Virus Total \r \f \f.
‹  \n , \n\f\f  €\n ,
  \f\f \f, \f  \f\f  \f
€\r  \f\f   , \n\r
 \f\n \n\r   \n\f  \f
Virus Total. \r \t , \f  \n\f\n \t
\f \r ,  \r \f \f \f\b ‚\f\f,
\f\f\f\f, …\f, †\f\f, ‚\f\f, \t\f,
ƒ\f\f, ‡\f\f, ‡\f\f, „\f\f, ˆ\b\f\f, ‰\f\f,
\f\f\b\f\f \f „\r\b\f\f.
\n\n \n\n\n, \n
  \f\t \f \f\b\f
\f  \f\f, \f    \f\r
.
 \f\r\n  \n\r \r\f \n \t
\n, \n   \n\r  \f \n
\r \f\n  \n.
 5.
‚\b\t \b\b\f \f\f
\f\t  Virus Total
group-ib.ru
 \f \f
 RTF-
€\r\n  \n CVE-2015-1641. ‚ €\n  
\n\f\n\f \r, \f \n\r \f\n\f\n
 6.
\f   Beacon
‚ \n \r\r \f\f \f \t \f, \f\b\n
\f\f ‡ \r\f  \n, \r\n \f \n
 \t :
group-ib.ru
   \r\r-\n \f   €\r\n \f 
 \n\n, \n\r    \f\f ,
 \r\n \f \n\n   Beacon.
 \t ,  \r \f\f \f Beacon
 \n\r  \n\f \n.
ƒ\n\b,  
\b\b\f \f\r \f \f \f \t
 \f \t.
“\n\t \t\n \n\f\f \t\n\t\f\n \f\b\n,
\n\n\r \t\n ‡\f  Beacon, \r\n
, \r\r \f \f  \n  \r,  \f
\f\r\n  \f  \f   \n\r  \f.
\b\f \n\r  \f\t \f  \b\f iusb3mon.
exe (Intel(R) USB 3.0 eXtensible Host Controller)  jusched.exe (Sun
Java Update Scheduler).
 \b\t \r \b  , 
  \f \f\f \b\t \t ,
\b\f  \f \f.
 \n\n  \r\n,  \f \f\f\f \f
\f , \r  \t\t\n\r  \f crss.
dll. Œ  \b\n\n ‡\f\f \n \f\f\f
\f  €\n \t\t\n\r \b\n.   \f\f
 \t  \r  \f\n\f\n  Beacon  \n\f
\n.
\f \b \f\t \f\b\t \r .
‚ \r   \r ‡\f\f \n \f\f 
.  \f\f   \f \n\n\r 
\r \f\f \f.
­\f\r \f ,  \f\f \r\n \r\n 
\n\f\n ‡\f\f \n, \f\f \t \f\n \n\f\f
\n \r \r\f \n. „\b\f\t \t \n .
group-ib.ru
„ \t\n\n\f\f \f \r\f \n \t\f\r  \f
\n \r  \f\f \f\n \n  \f‡\f\f \n
\n\r \f\f  \f\n\n \f. ‹\n \f €\n
 \f 100% \f\n\f \n,    Buhtrap.
†\r ‡1
€ ­\b\n \n\n \r
\f  Windows Server 2008   \n\r \t \t\f
\f\n\f \f\r‡\f\f\n —
Group Policy Preferences (GPP)
GPP  \n \f\n\n \f\n \f\n \n\r,
\n\r \r\r \n\n\r \f \f\f \n \r  \f\n 
 \n   \r\n, \t\f\f \f \n\f\f \n\f
 \f\n\n,  \f \f  \n, \f\f
\r \n \r\r \t\f \r\f  \n, \r\f
\n \r  \f\n \n \n\t\n \r \f .
Œ \n\r \n\r \t\n \n \b\f\f \f\b\n\f
\r\n, \f \t\n \n €\n \n  \r \f\f . ‚,
\f\f \b \n AES-256  \f\n\f
\r\f\f  Base64, \f\n \b\r\f‡\f\f 
GPP Groups.xml.
Š\n\n XML-  \n \f ,  \r, \f,  \n 
\f\n \n\f\f \n\f  \f\n\n. Ž \f\n
\f \r\f\n \f  \r\n \r\n SYSVOL , \r\r  
\r\n, \n\f \t  \n  \f.
\b   \t\b  Groups.xml \r \t \n \r\n\n
‚ \f \n  \r\f \n \t, \f\f
   , \f \f\n \r\f\n \f, \r\n
\r \f  \f\n\r \r\n.
 \r\f\n \f \f \n \f \r\n
SYSVOL   Groups.xml, \r\n \n\f   \n:
«\\[server_name]\sysvol\[domain_name]\Policies\[group_policy_
name]\Machine\Preferences\Groups\Groups.xml»
group-ib.ru
ƒ  Groups.xml \f  \r\n \f   \f\n\n
\f   cpassword  userName. \b\f\r \r \f, \r\r\b\n
\f\f .
 7.
  \r
Groups.xml
 8.
 \f\f
 \r Microsoft MSDN
„ \f   \n\r\n  \n\r
\r\n   Base64,  \n\r 
4e9906e8fcb66cc9faf49310620ˆee8f496e806cc057990209b09a433b66c1b
€\n , \f\f   AES-256.
‚\f\f \f\f  \n   \r
4e9906e8fcb66cc9faf49310620ffee8f496e806cc057990209b09a433b66c1b
\t\r\f\f \f ‡\f \n Microsoft MSDN.
group-ib.ru
‚ \f \r  \f \n \n \r
\r\f\n \f ,   \f\f \f \n, \n
\n \n \r  \t \n\f .
†\r ‡2
‰ Mimikatz
\n\n Mimikatz  \n  \r\n ”\n\f \f\f Windows  LSA
 \n\r\n   \n\f \n ‡\f\f \n 
\n \f\f  \n. „ \f €\r\n‡ \f\t
\n  \f\n \f\n \t\t\n\r \r ‡ lsass.exe,
  \f\f  \r\f \f\n\n. ƒ\f \r
Mimikatz \t\r\f \f GitHub, \n\f   \n\f  \f\r\n
\f\n\f\n  \n\n \f \f\r\f\f, \r Cobalt Strike.
Š \b   \b‚   \n  \r\n\n  \r\b
…\n\n\b \r
‚ \n, \r\r \n\r  \n \r \r\f\n \f
\n •1, \f \r \f  Mimikatz    
\f\f \f  \f\f,  \f 
  
. „ €\n \n\n\f \f\t\n  \r\f\f \n\r
mimikatz sekurlsa::logonpasswords
 \f     \n \r  \f €\r\f.
\n  ­\b\n
\n\n \r \b  
\r\b
\t 10 \b
group-ib.ru
 9.
‚\b\t 
\f\f Mimikatz
Š \b   \b‚   \n  \r\n\n \t \r\b
 \n\n\b \r
Œ \n\r  \f \r\n   \f\n\n, \f
  €\n  \n \r \r\f\n \f, \f \f\f
\t  \f \f \f \f   \f\b\f\f
\f\r \r \b\f\f
 \r\n Mimikatz  \n , \r \f
\f  \n  \f\t .
 \n 
\r\n\n \b  
\b \r\b  \n\n\b
group-ib.ru
Š \b      \n  \r\n\n
Œ\r   ,  \t\n Mimikatz \f\t \n \r\b‡ lsass.exe,
\n \n\t\n  \r\f \f\n\n.    \f\f \n  \n \t
\f \n \r\n‡ \n\f  \t  \r\f \f\n\n,
\n   \r €\r\n  \f \r\f .   \f
‡\f\f \n \t \n\f\f \f\t \t\f\f  \f,
\n\r \f\f \r\n \r  \n \b€\n \f\f \n\f
    \f \f  \n, \r\n   \t\b \f\n
  \f \r\f \f\n\n.
„ \f  \f \r\f \n \n\r  
 \n CVE-2014-4113, CVE-2015-1701, CVE-2015-2363  CVE-2015-2426, \r\n
  \f\n   \f SYSTEM \f x32  x64 ‡\f\f
\n.
Service Account). ­\f  \n\r\f  \f,  \f  \f\n
 \n, \f   \n    \f.
‚ \n \r \r\f\n \f, \f\f\r \n \r\n 
\t  Active Directory, \f, \f \r\f mimikatz.exe ˜privilege::debug™
˜lsadump::samrpc /patch™ exit     \f NTLM- \n\f  krbtgt.
ƒ  \f\f €  \f\n\r\n \f,   \n  Mimikatz
\f \n  \n   \n TGT-\t\n,   \r\n \f \n
\n \r \t   \f.
  \b  \b
\r\b …\n\n\b \r
\b \b   \b\r
 1 \r
group-ib.ru
  
‚ \f\f    \n\r \t \f\f \n \r\b\n
\b,    \n  \r\f \n , \n\b\b\f\t.
„ \n\t \r\n  \r\f \n \b\t \f\f
 \f\n  \f \r\f \n \f ,  \r\n\f\n \t\n
\r\f  \t \t \f\n \f\f\n \f\n \r\f\n.
\n  \t\n‚  \n/\n\n
ƒ\n\r,  \n\r \n \r\r \f \f \n  Beacon. ƒ\b\f\t \n
\n \r \f\n \r\n, \b\n\b \r \n, \r\n \f \n 
\b\f\n\f\n.
Š\n  \t\r \f  \f\n\f\f  \f\f-\t \f\b
\b  \t, \f    \t \b \f \t Co
balt Strike
, \n\f\f\f \f \f\f   \n  \f\n
\r\r\n\f \t\n.
\n ‚  \r\b   \n\t:
 \n  \n  \f\n\f\n \r  Beacon, \r\n
\n\f \f\f \b\f\f  \f  \r\n
\r\f. „\b\n\f \t\f\f \n\r \n  \n
\b \n\f\n\f \n IDS/IPS   \n\r DNS,
HTTP, HTTPS. \r\b\n \t \f\f, \b\f\b\t  \f\n
 \n \b \n  \r\f \n.   
master-node.
\t \f\n  \t\f\r \n\n  \f\f \n, \f
 \n  \f\n\f\n.    \n  \f,  \f
\f\f \b\f\f  \f \r\n\f \n  \n
 \f  \t\n\f \t \t \f\n. “\n\t\b\n \n\r
\n  \f\b \n  \f \b\n \t\f\f \f, \n\r
  ‡\f  Beacon, \r\n \f \n \n\r
 \b\r\f \n  \n\r SMB \b \f pipe.   
slave-
Cobalt Strike  \n  \n master-node  slave-node  \b‡\f
\r\f  \n\r SMB. \r \t , slave-node \n\f\n \n\f
\b\f\f ‡\f\n\f \r\f \f Cobalt Strike.
.. \f\b\f
    \f \b master-nod,   \b
\r    \n\f\r \n\n \n\n\f \f\f \f 
\n\f\f \n  \r\f \n \n\r \t\f\r, \n  €\n
\r\f \f \n\f.
group-ib.ru






\f\b


 †€‡ˆƒ…‰­ƒƒŠ‚‹† „ŒŽ†‚


’


’


’


’
 \n\t\n  \r\b
‚ \f \r\n‡ \r\f \n  \f \n\r 
 \n \n\f \r\f \f\f \n, \f, \r\n
 \n\f\f , \t  VPN   \f\n\n  \t\f
 \n.
\n \f \n, \n Cobalt Strike \n \n\f\f  \f\f \n 
\f \f\t \f \b \f \f\f\f\r \f
TeamViewe
r — \f \f\n\f\n \f\f \n. \n\f\n \n\f\r
\f\n \f , €\n  , \n \f\f \n \n
‡\f \f \n \r\n \f  \n, \n \r \r\n
\n\f \f\f \r\f, \r\r €\n \t  \n\r  \n\f
  ˆ.
  
“\n\t \n \n\r  \n, \f\t \r\r\b\f \n  \n,
\f  master-node,  \n \b \n \f\f\f,
\f\n
\f   \f\t   \f\f \t\f \f.
group-ib.ru
  
  \r \f\t\f \n\r \f \t\f\r\n  
\t :
Œ \t\f\r\n   \f \r\f‡   \r  \t\f \n\f.
‚ \n\f \f \n-\n \t  \n\f  \n \r.
“ \f\r\r \f\n \t\f\r\n \f\f ‡ \n \f.
‚ \n \r\r \f  \t\f\r\n \r\f, \r \n\f  
 \b\n\f  .
­\n\f\f \t\f\r\n  .
š \f \f \f\t , \r\n  \r \f
\f\f \t\f\r\n  \f \f  \n\f \f\r\r . „ 
 \n, \n    \n \r.
  \n\b
Œ\r \r \n \f  \n\r, \f\f\f \n\r\n   \f\r\r
\t\f\r.  \n, \n\t \n \n  \t\f\r, \r\n\n  \n, \f\n,
\n\r \f \n \n \r \t\f\r\n, ‡\f\n, \r\r \f\t\n 
\f \t \f  \t\f\r\n, \n \f \f\r\r \f. “\n\t \n
 €\n\n ‡, \f\t   \r\f  \n\r \f \n\n\n\f\f\n.
ƒ„‹ ‹\f
› \t . ­\t\f €\n \f   \r, \r\n
 \t\n\n , \f\f\n , \n 
\b\t\n \f\f\f ‡. \f 
 \b\f \n \n \r\f\n \r\r \n, \n\r  ,
 \b\n\b   \f \f\r‡\f \f\f 
(\t €\n \f).
Š‹Œ
‘, \f\n\f\f \n   \f\n\f\f \n
\t\f\r   \t\f\r\n \r\f \f  \f. ­\t\f
\b\f\r\r \r, \r\r \f \n\r\n  
\f\r\r \t\f\r. ­\n \r\f\n\n \r\n \f\f
\f\f\n  \n\n\n  \f \n.
group-ib.ru
ƒ„‹ Ž„
 \n\n \f\n\f\f  \f \n \n\r, \f
\f\b \f \t \n.    \n \r\f‡ \n
\b\t\f\f \f  \r\f\n  . ƒ\f\f  
\f\n  \n\n  \r\n \f\f  \t\f\r\n \f, \r\n
\f \n \n \f \n.
†‰Œ
‘  \f\f \n\f\r \f\r, \f 
\n\f\f \r   \t\f\r. ƒ \f\f  – \t\n \f
 \b\t\f\r\n  \n\n\n  \f \n \t\f, \r\n
\f\f \r\f\n\n  \r\n\f\n. ƒ\f\f  \n
\f\b\f\f  \r \f\t\f.

  

\r\f
 \n\t
\b


\r\f
 \n\t 
\t\r 
 




\t
  
 

\r\f \n\f
\t\b
  
“ \f\r\r \f  \n\r \f \t\f\r\n First Bank   \t \f
\f ‘\n \bˆ\f. ­\n 13  , \r \f
ˆ,  \r\f\n \n.
‹  Œ\b    \n\f\f\f
\f\b \f\t  \f \f \f\n\f   \t \f
.
group-ib.ru
\b \r\b  
‚ \n\f\f \r\f\n \f \f\n\f\f \n \t\f\r  \t\f
 \f \r\f \n, \n\f\r  \r \r \f\n
\n,  \r\n \f \n \n \r \t\f\r\n,  \t \n
\n\f\r, \r\n \f \n  \t\f\r\n.
‚ \n \r \r\n  ,  \r\n  \f \n
\r \t\f\r\n, \n\r   \n\f\n\f \f\n\f\n
\f\f \n,    \t\f\r. Œ\r\b, €\n \n\r
\f\f \f Microsoft Remote Desktop Protocol.
‚ \n \r \t\f\r\n, \f  \f \f ‡\f
\f \t\f, \r\n    \n 
\f\f.
\n\n  \r  …
 \b \b\r \r\b     \t\n\b‚  \n
  
group-ib.ru
\f\f   \n   XFS API  \n\n
\b\f  \t\f\r\n \b\n \r\f \f\b\n\f \r\n \b\f\f\n.
­\f \f\r‡\f\n  \n\n\n \b\f\n, \r\n \f \n 
\r.  \n\r \f\n 5,  \f\f \r  \b\f \f\t \r \n.
\n\b \r \n \r‚ \n  \r\b   \n\r:
ServiceLogicalName
—  ,   \b\r\n \f\n  \f\r‡
WFSOpen (\f «Cash Dispenser Module»).
 10.
   
 ,
\f\r \b \f 
  
group-ib.ru
 €\n \f\f \r \n  \r\f \n, \r\n \r\f
\r\b\t\f\r\n \f\f.
   \f\n \t \f\f \r\r\n\f, \n \t\f,
\n\t \n,  \n\n\n  \r\n \t\n  \n
\f \n.
 11.
     ,
\f\r \b \b\f 
 12.
     ,
\f\r \b \b\f 
„ \f\n , \r €\f\n \r\n \n\n\n\n \f
\r\n  \n\n. Œ\n €\f\n  \f \n
 \t \r\n \r\n. …\f\f, \r\n \f\n \r €\f\n
,  \f\n \r\n \t\f\r\f\n, \r\n \f\t \n
 \b\n\n\n \r\n. ‡ €\f\n  \f\f\n  1.
 ‡ \f\r‡\f\f  \n \f\f \b\n\f
\f, ,    \f \f \n\n\n\n \r \f\f \b\r ,
\n  \t\n.
„   \n  \n\f\n\f \n, \r\n
\f\t \n  ‡  \f\f\n, ,   \f
 \f, \t\f\r\n \n \r . Š\n ‡,\t\n
\n\f \n\r  , \r\r \r \f  \f\n «Dispenses Count».
‚ \f \f \r \n\r ‡    \f «disp.
txt», \f\f   \n  \r\n, \n  \f\f ,
group-ib.ru
‡    \f\f \r .
­\f   d2.exe, \b\n d2sleep.
exe. ˆ \f‡  \f \r   \n, \n\b\n  \f\f\n 
\f\t   — 1 \r\f.
‚ \n \r\r  \t\f\r\n \r\f \r,
 \b 
\n ,  \n
\n\b   \r\n\b
\n\n \r   .
…  \b   \f \r \f \n\f\b\f \f.
­\t\f \n\r \r \n \f \n, \n\t \r\n\n \t\n
\f\f  \f\b\r\f\r\n\f \t\f\r\n.
group-ib.ru
\t  Buhtrap
  2016  \t \f  ‡,
\f \t\f \f\f
\f\f \n   Buhtrap. ‚
€\n \f \b\n \t\f\r  
\f\f\f \n\f \r\n, \f\r
\t\n-\n  \n\n: \b 
\f  \f\r\r \f\f Buhtrap
\r\f.
ƒ \t\f \f‡\f\n, \b\t\f
\b\n \n\r\f\f \r\f  
\n \f\f \f Light Manager:
  \t \n\f\f \f ( 
\b– \t  \f ), \n  \f\f
\f\f ,  \n —  \f
2016 . ‹ , \n   
\r \f \t\n-\n Buhtrap \t
\f  \f\f\r, \r\n
 \n   \f  \n \r\f.
\n  \n, \f \f \n\r Cobalt
\f\b\t\f\r\n \r \b\r \t\f\r
\r , \n\b\n\f\r \n\r \f
 \b\f \n \r\b\r\f\n \f
\f\n\f  \f\f  Buhtrap.
ƒ\n\b \t, \n\n\f\f
\t \f \r \r 
 \nCobalt
, \n\b\f \f \n\f,
\r\n\r Buhtrap \n \r \f \n\r
\f \b\t\f\r\n.
 
   \r\f

 \t\n\r
  Buhtrap
\n
\b  \t
 \t 
 
 \f\f

  
\r, ,
\t

   \r,
\r, \r\t\n,
, ,
,
 , ­\f
\r \f   \n\f \t  \b\r - BUHTRAP
group-ib.ru
\r
\t\n\f  ‡\f\f\f \n\r \f \t\f\r \f \t
\n\n\n  \n \f  \f €\n   \n. 
  \n \r\f‡, \r\n  \n \t
€\r\n\f \n \n \n\r.
\n\r\n  \n
­\f\f \t \f\r\f\f  \t\f\r\r \n
\n \n\r \f   \f, \r\n
\n €\r\n  \f    \b.
“\n\t \n\n\n \f   \n\n \t\n €\r\n,
\n\n\f \f\f \t\f\n \f \t\f
Microsoft. Š\n \n\f  \f    \n
\f \f,  \t \n, €\n €\r\n \t \n\n\f
\n.
    \f 
\f  \b \f \t  \f
\t.
 \f\r\n \n\r\f\f \t\f\r €\n\b\n\t\f
\f\b\t.
 \n , \r \n\r \n\r  \t\f\f\f
\f \t\f, \f \n \f
\b\f     .
\f \f
  \f\t,    \f\t  \f
\n\f\f\f\r \f\b  \f\b\f\r .
   \b ‘ \n\r \b
\n\r\n  ,   \n
…\b\b ‚  ‚ 
\n\b\n …  \n\n\t\r (threat
intelligence) …\t\b \t\n
\n€ \r…\n\b‚  .
group-ib.ru
\n\r\n   ‘ \n\t 
ˆ ‡ \n\r  \f\f \f \n
\b\n \t\f\r \n \f\n \f,  \f ‡. ƒ \n
€\n   \f \n \n\r.
‚\n \f\n\r \r\f\n \f  \f 
Groups.xml  \r\n SYSVOL  \f\f 
\f\b\n\f\n\f \r AES-256, \r\r €\n \t \f
\b   \f .
\n\f\n \f \t\f\r\n \f \t\f
\b\r\f\n ‡\n\f\n.
‚\n \r  \f\r\n, \n\f\f
\b  .
   \t\f  ‡\f\f\f \n\r \b
\f \f \t   €\n \f\f \r\n
\f \r\f.
\r
 \b, … \r \b  
 \t, …\n 
\n \r     
\r   .
group-ib.ru
IP \r\n \n\n,  \n  \n ­€ :
88.212.208.115
5.101.124.34
„\t \n\r ‚:
The rules for European banks.doc
Bitcoin ATM’s.doc
„_\f\f2016.zip
\r \r\f\n.doc
  \t\n\b\t\b Beacon  Cobalt Strike:
hxxp://korolev-okna.ru/beacon.exe
hxxp://50.115.164.10/update.exe
hxxp://176.31.79.123/~tolipresorts/nig.exe
group-ib.ru
\r\n
966cc404a4f6bf6d77565004a952b3e3
Cobalt Strike
Cobalt Strike
7fa1af2adba39ef6efe0f870c057554d
Cobalt Strike
Cobalt Strike
Cobalt Strike
Cobalt Strike
Cobalt Strike
56487b799755f50c6e56c41870d43624
Cobalt Strike
fe44c14403f36c6e451bda391a1d1ca7
Cobalt Strike
ATM malware program
f5aea645966319c96d4dbcadce2a10e0
ATM malware program
036faf1f7e39e44c0db25b9149b45786
MBRKiller
eb162cc34efae1cb621cc7157ef36514
group-ib.ru
\f\f\f \f \f\b\f Bot-Trek
Intelligence \b\f \n\f  Cobalt 
  2016.
 \r\f\n‡ 
\n  \n\f\n \n\r, \f\n
\n\n \n  \r\n \n\r \n
\r \t\f\r\n.
‹  \t\n  \f \f  €\n \n\r.
‚ \f\n  \f\n \f, \n\t  \f\n
info@group-ib.ru
Bot-Trek
Intelligence
Œ\t \r \b\r\b
— \f\n\f, \f
 \r\f, \b\r\f\n
\b\n\f
CERT-GIB
Œ\n\f 
\n\f ‡\n
\b\f
\f\b\f‡\f\n
Bot-Trek TDS +
\n \t\f\f
‡ \n\r  \f
\f \f \n\f
\f\f \r
\r
\r \n\f \t 
\b\n\f \n\f\f
\f\n \n\f\r
Group-IB
— \f   \f\f
\r\f \b\n\f
\b\f \r\t\n\f
\b\f\f\n \b \f \r
\n\f;  \r \n\r
threat intelligence,   \n\n Gartner.
 2015  Group-IB \t \f \f  
7  \n\f \r  
\f‡\f\f \t \f\n  
\t\n\f\r  \f Business Insider.
 \f\n \t \f
group-ib.ru
 GROUP-IB

Приложенные файлы

  • pdf 2386573
    Размер файла: 2 MB Загрузок: 0

Добавить комментарий