Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

"Sklep wielobranżowy”: serwer kradnie dane, a następnie oferuje je na sprzedaż

Dodany 3 stycznia 2017, 12:57 CET
Tagi:

Przechwytując ruch z wielu zainfekowanych maszyn, które wskazywały na obecność szkodliwego oprogramowania Remote Admin Tool o nazwie HawkEye, trafiliśmy na interesującą domenę. Została zarejestrowana na serwerze kontroli (C2), na którym przechowywane były skradzione dane przechwycone przez keyloggera ofiar HawkEye, ale była również wykorzystywana jako „jedno okienko” umożliwiające zakup zhakowanych „towarów”.       

Białe kapelusze na polowaniu?

Zanim zagłębimy się w analizie serwera, warto wskazać interesujące zachowanie zauważone na kilku skradzionych kontach ofiar. Ustaliliśmy, że „pomocna” grupa hakerów (WhiteHat), która występuje pod nazwą Group Demóstenes, pracowała bez ustanku, przeszukując internet i próbując „wyłuskać” skradzione dane z serwerów C2. Po znalezieniu takiego serwera ugrupowanie szukało backdoora, który zapewniłby mu kontrolę nad systemem plików. Następnie monitorowało przychodzące, skradzione dane. Ręcznie lub automatycznie zbierało skradzione dane uwierzytelniające i wysyłało e-maile na konta ofiar. Wiadomości te zawierały załącznik z dowodem włamania się do maszyny. Ponadto, hakerzy zalecali użytkownikowi natychmiastową zmianę haseł i oferowali pomoc.       

Hi ***********

Our SERVERS detected information from a server on the US, we don’t even know goverment or another sourse …. we send a file with all your logins and passwords of all your accounts from hxxp://www.p******op[.]biz/*******
WE HAVE TESTING IN YOUR PAYPAL ACCOUNT. LOG IN TO YOUR ACCOUNT AND YOU WILL SEE TWO CANCELED BILLING (OUR JOB IS WHITE HAT NO HACK …. Steal)
Seme you verify this information. it’s better thing we hurt all change password on the other computer Because Called Computer

Name PC USER-PC
Local Time: 03.10.2016. 18:45:02
Installed Language: en-
Net Version: 2.0.50727.5485
Operating System Platform: Win32NT
Operating System Version: 6.1.7601.65536
Operating System: Microsoft Windows 7 Home Premium
Internal IP Address: 192.168.0.101
External IP Address:
Installed Anti virus: Avast Antivirus
Installed Firewall:

have a keylogger harm report All That You write, messages, passwords or more.

¿Why we do it?
We have a Cause Called Group Demóstenes looking for Ciber attacks and false info.
Please Donate by PayPal at h**cg**an@gmail[.]com 5 USD or more, Because this is only our ingress.

PLEASE WRITE ME AT THIS MAIL FOR KNOW IF YOU KNOW ABOUT THIS

Powyższy e-mail pojawiał się w dwóch językach: angielskim i hiszpańskim. Nazwa grupy wydaje się pochodzić z portugalskiego, jednak nie ma co do tego pewności.  

Sklep: serwery kontroli

Przeprowadzając skanowanie w poszukiwaniu usług sieciowych kontrolowanych przez ten serwer C2, odkryliśmy, że zawiera on nie tylko część wewnętrzną do przechowywania skradzionych danych uwierzytelniających, ale również część zewnętrzną wykorzystywaną do sprzedaży niektórych z nich pośród wielu innych „towarów”.

Przeglądając domenę, która komunikowała się z próbkami RAT HawkEye, odkryliśmy stronę logowania się. Ponieważ serwer ten działał od niedawna, użytkownicy mogli zarejestrować konto i zalogować się w nim w celu zakupu oferowanych towarów.  

stop_shop_eng_1_auto.png

Po zarejestrowaniu się w aplikacji sieciowej C2 nie znaleźliśmy żadnego śladu przeniesienia skradzionych danych z zainfekowanych maszyn. Po przetworzeniu udanego logowania się otwiera się strona internetowa przypominająca forum.

stop_shop_eng_2_auto.png

Serwer C2 był przeznaczony do bezpiecznego przechowywania skradzionych danych; zawierał jednak istotną lukę w zabezpieczeniach, która umożliwiła badaczom pobranie skradzionych danych.  

Wygląda na to, że 22 listopada właściciele C2 dodali sześć nowych skryptów Shell. Miało to miejsce zaledwie tydzień przed rozpoczęciem badania – co stanowi kolejny dowód na to, jak świeża jest ta operacja.

stop_shop_eng_3_auto.png

Innym towarem na sprzedaż są strony scamowe - niektóre z nich są wielojęzyczne. Osoby atakujące ujawniają również zakres swoich ofiar, wskazując na osoby zarejestrowane w serwisach Amazon, Apple, Netflix a nawet National Bank of Australia i Barclays.

stop_shop_eng_4_auto.png

Osoby atakujące nie pominęły żadnych szczegółów i podały dodatkowe informacje odnośnie sposobu postępowania podczas korzystania z ich usług oraz z kim należy się skontaktować w zakładce Pomoc.

stop_shop_eng_5_auto.png

W celu nabycia towarów w prywatnym sklepie należy wpłacić pieniądze na swoje konto na stronie. Sklep akceptuje bitcoiny, PerfectMoney oraz WebMoney.

stop_shop_eng_6_auto.png

Wróćmy do skradzionych danych

Jak już wspominaliśmy, HawkEye to rozbudowany keylogger, który potrafi przechwytywać uderzenia klawiszy z dowolnej aplikacji otwieranej na komputerze PC ofiary. Potrafi również zidentyfikować zdarzenia logowania i rejestrować miejsce docelowe, nazwę użytkownika i hasło. Jest jednak ograniczony do uwierzytelnienia dwuskładnikowego oraz jednego logowania się.

Okazało się, że skradzione dane uwierzytelniające na serwerze zawierały poufne hasła dostępu do bankowych i płatniczych aplikacji sieciowych oraz związanych z rządem i służbą zdrowia. Wśród nich znajduje się następujący serwer sieciowy, który należy do rządu pakistańskiego.  

stop_shop_eng_7_auto.png

 

Jak już wspomniano, wykryto setki maszyn „skompromitowanych” przy użyciu zaledwie jednej serwera C2. Poniżej znajduje się częściowa lista tego, co zostało pobrane z zainfekowanego serwera. 

stop_shop_eng_8.png

Zwykle nieuważni cyberprzestępcy zapominają usunąć pliki testowe, które mogą zawierać poufne dane. W tym przypadku, udało nam się uzyskać dane uwierzytelniające osób atakujących z jednego bardzo małego pliku, który został przechwycony podczas przeszukiwania powiązanych ciągów.   

Rozkład geograficzny celów

Badanie nadal jest prowadzone i dotyka obecnie użytkowników zlokalizowanych w krajach regionu Azja Pacyfik, takich jak Japonia, Tajlandia oraz Indie, jak również w częściach Europy Wschodniej, np. w Rosji i na Ukrainie.