Инструкция новичку Путеводитель по форуму Прокси для Telegram Показать подсказки , это бомба!

Найдена связь между ограблением тайваньского банка и северокорейской хак-группой Lazarus

News_Bot

Бот новостей и статей
Бот форума
29 Сен 2016
3.023
37
Найдена связь между ограблением тайваньского банка и северокорейской хак-группой Lazarus



В начале октября 2017 года, стало известно, что тайваньский банк Far Eastern International Bank (FEIB) пострадал в результате кибератаки. Неизвестные злоумышленники попытались похитить около 60 млн долларов, переведя средства в банки Шри-Ланки, Камбоджи и США (большую часть денег представители банка сумели вернуть). Вскоре после этого тайваньская полиция сообщила об аресте двух подозреваемых, которые попытались обналичить 195 000 и 52 000 долларов, похищенные у FEIB и поступившие на три счета в Bank of Ceylon.

Данный инцидент стал новейшим звеном в достаточно длинной цепочке взломов, связанных с международной банковской с системой SWIFT. На этот раз преступники тоже использовали малварь для компрометации учетной записи SWIFT, принадлежащей банку, и воспользовались системой внутренних транзакций для перевода средств.

За последние полтора года от похожих атак пострадали банки Бангладеш, Уругвая, Вьетнама, Польши, Украины, Филиппин, Мексики и так далее. ИБ-специалисты сумели связать некоторые из использованных злоумышленниками техник и инструментов с хакерской группой Lazarus (она же Dark Seoul), которая также известна атакой на Sony Pictures Entertainment в 2014 году. Весной текущего года аналитики Group-IB представили детальный отчет, доказывающий, что Lazarus тесно связана с Северной Кореей.

Теперь эксперты оборонной корпорации BAE Systems представили новый отчет, согласно которому, недавнее ограбление FEIB очень похоже на прошлые атаки против польских и мексиканских банков. Суммарно исследователи идентифицировали девять образцов малвари, использованных для нападения на FEIB. Три из них явно связаны с другими инструментами Lazarus, а еще четыре представляют собой разные версии вымогателя Hermes.

Также отчет о случившемся выпустила и компания McAfee, которая пишет, что злоумышленники использовали таргетированный фишинг для проникновения в сеть FEIB. То есть первой фазой атаки стали фишинговые письма, содержавшие вредоносные документы Office, а затем злоумышленники проникли в сеть банка, используя SMB.

Согласно хронологии, которую выстроили специалисты McAfee, атакующие некоторое время изучали сеть банка, а затем, 1 октября 2017 года, внедрили кастомную малварь. Спустя два дня в распоряжении преступников оказались учетные данные от аккаунта SWIFT, принадлежавшие одному из сотрудников банка. Это позволило хакерам направить деньги в банки Шри-Ланки, Камбоджи и США.



Эксперты пишут, что транзакциям были присвоены коды MT103 и MT202COV, что и подвело злоумышленников. Дело в том, что код MT202COV был использован некорректно, что вызвало подозрения у сотрудников финансового учреждения.

Как только атака была обнаружена, преступники запустили в сеть банка шифровальщика Hermes, тем самым затруднив проведение расследования и зашифровав возможные улики. Злоумышленники использовали кастомную версию вымогателя, которая не меняла обои на рабочем столе на сообщение с требованием выкупа, в отличие от оригинала.

Оригинальный Hermes

Вместо этого данная модификация Hermes отображала сообщение «finish work» и оставляла во всех директориях файл с именем UNIQUE_ID_DO_NOT_REMOVE.

Шифровальщик, использованный против FEIB
 
Ваш e-mail не будет опубликован. Он потребуется для подтверждения Вашего поста.
Оформление текста Нажмите «Ввод», чтобы отправить ответ.

Привет!

Мы группа людей которые решили помочь другим в решении их проблем, а так же пользователям с поиском самых свежих и качественных инфопродуктов. За 4 с небольшим месяца мы создали этот форум на который заходят ежедневно тысячи человек и посещаемость постоянно растёт. Мы создали панель лицензирования для защиты PHP скриптов от воровства и SEO панель для мониторинга наших сайтов и выбора верной стратегии их развития. Мы надеемся что то что мы создали пригодится Вам и возможно Вы поможете нам развиваться и совершенствоваться вместе с Вами.

Статистика форума

Темы
338.378
Сообщения
361.155
Пользователи
25.854
Новый пользователь
OlivkaG

Приложения форума для iOS и Android


У ркн там нет власти ;)
Гостевуха
Помощь Пользователи
  • K (Гость) kkifkaa:
    mizaider тут есть?
    Цитата
  • K Chat Bot:
    Гость kkifkaa присоединился к комнате.
  • K (Гость) kkifkaa:
    Здравствуйте уважаемые члены форума. Подскажите пож-та, что можно сделать если я был заблокирован якобы за: «Вы были заблокированы по следующей причине: Копирование материалов на другие ресурсы». Самое страшное, то что тебя обвиняют и не дают возможность пообщаться и разобраться в причинах. Кстати в такой ситуации может быть каждый из нас. Вот так стараешься размещаешь тут материал, а тебя без разбирательств в бан. И нет возможности обратится в тех поддержку т.к. твой аккаут заблокирован. Подскажите пож-та, как можно связаться с администрацией, чтобы была проведена проверка? Сейчас я новичок и как раз в этот день для нас заливал на форум новые курсы (один залил, второй не успел). Я сначала подумал, что какой-то запрещений материал разместил, а потом понял, что меня обвинили в том, что я не делал.
    Цитата
  • K (Гость) kkifkaa:
    mizaider ты здесь помоги пожалуйста!
    Цитата
  • mizaider @ mizaider:
    Вопрос решен.
    Цитата
  • goodness @ goodness:
    Добрый вечер уважаемые форумчане!)
    Цитата
  • goodness @ goodness:
    Вопрос к администрации: Имеется одна точка доступа wifi на квартиру, вашим форумом пользуюсь пока что только я, но хотел бы зарегистрировать и свою девушку,
    Цитата
  • goodness @ goodness:
    система нас не забанит из-за того что мы с одной точки доступа но с разных устройств?
    Цитата
  • mizaider @ mizaider:
    Не забанит
    Цитата
  • Captain @ Captain:
    Батя в здание
    Цитата
  • 13SASHA13 @ 13SASHA13:
    Цитата
  • Uggi Chat Bot:
    Uggi покинул(а) комнату.
  • M Chat Bot:
    mr_robot_i2p покинул(а) комнату.
  • Captain @ Captain:
    Батя в здание
    Цитата
  • J Chat Bot:
    joker567 покинул(а) комнату.
  • Z Chat Bot:
    ztmm покинул(а) комнату.
  • H Chat Bot:
    Гость hjjjj присоединился к комнате.
  • H (Гость) hjjjj:
    тест
    Цитата
    H (Гость) hjjjj: тест