Изследователи в областта на киберсигурността съобщиха, че са открили първите атаки по веригата за доставка на софтуер с отворен код, насочени конкретно към банковия сектор.
„Тези атаки демонстрираха усъвършенствани техники, включително насочване към конкретни компоненти в уеб активите на банката жертва чрез прикачване на злонамерени функционалности към тях“, заяви Checkmarx в доклад, публикуван миналата седмица.
„Нападателите използваха измамни тактики, като например създаване на фалшив профил в LinkedIn, за да изглеждат надеждни, и персонализирани центрове за командване и контрол (C2) за всяка цел, използвайки законни услуги за незаконни дейности.“
Оттогава пакетите npm са докладвани и свалени. Имената на пакетите не бяха разкрити.
При първата атака се твърди, че авторът на зловредния софтуер е качил няколко пакета в регистъра npm в началото на април 2023 г., като се е представил за служител на целевата банка. Модулите са били снабдени със скрипт за предварителна инсталация, за да се активира последователността на заразяване. За да завърши измамата, стоящият зад заплахата хакер е създал фалшив профил в LinkedIn.
След като бил стартиран, скриптът определил операционната система на хоста, за да провери дали е Windows, Linux или macOS, и продължил да изтегля зловреден софтуер на втори етап от отдалечен сървър, като използвал поддомейн в Azure, който включвал името на въпросната банка.
„Атакуващият умело е използвал CDN поддомейните на Azure, за да достави ефективно полезния товар на втория етап“, казват изследователите от Checkmarx. „Тази тактика е особено хитра, тъй като заобикаля традиционните методи на забранителните списъци поради статута на Azure като легитимна услуга.“
Вторият полезен товар, използван при проникването, е Havoc – рамка с отворен код за командване и управление (C2), която все повече попада в полезрението на злонамерени участници, които искат да избегнат откриването, произтичащо от използването на Cobalt Strike, Sliver и Brute Ratel.
При несвързана атака, засечена през февруари 2023 г. и насочена към друга банка, противникът качва в npm пакет, който е „щателно проектиран да се впише в уебсайта на банката жертва и да остане неактивен, докато не бъде подтикнат да започне да действа“.
По-конкретно, той е бил разработен така, че тайно да прихваща данни за вход и да ги прехвърля към контролирана от извършителя инфраструктура.
„Сигурността на веригата за доставки се върти около защитата на целия процес на създаване и разпространение на софтуер, от началните етапи на разработката до доставката до крайния потребител“, заявиха от компанията.
„След като зловреден пакет с отворен код влезе в канала, той на практика представлява мигновен пробив и прави всички последващи мерки за противодействие неефективни. С други думи, щетите са нанесени.“
Разработката идва в момент, в който рускоезичната киберпрестъпна група RedCurl е пробила неназована голяма руска банка и австралийска компания през ноември 2022 г. и май 2023 г., за да измъкне корпоративни тайни и информация за служители като част от сложна фишинг кампания, съобщи руското подразделение на Group-IB, F.A.C.C.T.
„През последните четири години и половина рускоговорящата група Red Curl […] е извършила най-малко 34 атаки срещу компании от Обединеното кралство, Германия, Канада, Норвегия, Украйна и Австралия“, заявиха от компанията.
„Повече от половината от атаките – 20 – бяха извършени в Русия. Сред жертвите на кибершпионите са строителни, финансови и консултантски компании, търговци на дребно, банки, застрахователни и юридически организации.“
Финансовите институции също са били обект на атаки, при които се използва набор от инструменти за уеб инжектиране, наречен drIBAN, за извършване на неоторизирани трансакции от компютъра на жертвата по начин, който заобикаля механизмите за проверка на самоличността и за борба с измамите, приети от банките.
„Основната функционалност на drIBAN е двигателят ATS (Automatic Transfer System)“, отбелязват изследователите от Cleafy Федерико Валентини и Алесандро Стрино в анализ, публикуван на 18 юли 2023 г.
„ATS е клас уеб инжекции, които променят в движение легитимните банкови преводи, извършвани от потребителя, като променят получателя и прехвърлят парите към нелегитимна банкова сметка, контролирана от ТА или свързани лица, които след това отговарят за обработката и изпирането на откраднатите пари.“