Группировка Carbanak вернулась с новыми инструментами атак

Печально известная группировка Carbanak возобновила деятельность и добавила в свой арсенал абсолютно новое вредоносное ПО и инструменты администрирования. В августе минувшего года американские правоохранители арестовали троих высокопоставленных участников группировки, действовавших под прикрытием на первый взгляд легитимной компании Combi Security. Однако, несмотря на аресты, оставшиеся участники Carbanak по-прежнему сохраняют активность и продолжают совершенствовать свои инструменты и методы атак.

Для заражения систем вредоносным ПО группировка использует один из наиболее распространенных методов – фишинг. Согласно отчету компании Flashpoint, описывающему подробности недавних кампаний Carbanak, одно из фишинговых писем содержало ранее нигде не встречавшееся вредоносное ПО, получившее название SQLRat. Троян способен загружать и исполнять SQL скрипты на зараженных системах. Троян не оставляет артефакты, как обычное вредоносное ПО, поэтому отследить и проанализировать его довольно сложно. Скрипт подключается к контролируемой Carbanak базе данных Microsoft и исполняет контент различных таблиц, в том числе записывает на диск загрузчик Tinymet Meterpreter.

Бэкдор DNSbot- еще один новый вредонос, появившийся в активе Carbanak. Он использует DNS-трафик для передачи команд и данных с инфицированной системы. Программа также может переключаться между зашифрованными каналами (включая HTTPS и SSL). Также группировка обзавелась новой написанной на PHP панелью управления скриптами под названием Astra, используемой для отправки вредоносного кода на скомпрометированные компьютеры.