Электронный документооборот
Учет и отчетность
Участие в закупках
Торговля и ритейл
Автоматизация бизнеса
Проверка контрагентов
Управление HR‑процессами
Коммуникации
Обучение
Сделки с недвижимостью
Банковские услуги
Продажи и маркетинг
Информационная безопасность
6 августа с зараженного компьютера пользователя Контур.Диадока разослали zip-архивы с вредоносным программным обеспечением. Решение «Лаборатории Касперского» детектирует это вредоносное ПО как HEUR:Trojan.Win32.Agentb.gen.
Специалисты Контура при содействии «Лаборатории Касперского» определили, что зараженные трояном компьютеры, управляются с серверов:
- techbb[.]site
- kogama[.]rest
- maxboth[.]click
- boxofwe[.]homes
- minboth[.]click
- 95.181.226.238
Примеры хеш-сумм (список может расширяться):
- 34ca42e851acefa46a36ad01ab8f28e51f832a6c22622ab49d767caee75b8d2c
- 5c5a48c2d0f1b9695a0593b543f26b29e7e3612692e06d051f5c8b7ed00c27ef
- 9f4403cd493e7cc5980545f150ce9188817544db78e82413915c52031f51e857
- a5d1d8ebf0efe272a7779ac26a8aba3b1d69a0b4678a37cc14287cd4d7273b16
- c0461c68ad96bc01a7c31d5ad5fec48ee0db3e2112a10bb61ce38e1b8c8fbaaa
Ознакомиться с отчетом исследования одной из форм трояна
Цель злоумышленника — кража денег через системы дистанционного банковского обслуживания (ДБО). Кибератака была направлена на пользователей систем ДБО и иных сервисов отправки платежных поручений в различные банки.
Сам сервис Диадок не был взломан. Для вредоносной рассылки использовали стандартную возможность продукта — отправку документов из веб-приложения.
Чтобы избежать дальнейшего распространения вредоносного ПО, Контур.Диадок заблокировал отправку зараженных документов и удалил отправленные. За короткий промежуток между отправкой архива и его удалением из системы некоторые пользователи могли получить зараженные вложения и запустить их на своих рабочих местах.
Как определить наличие трояна
Троян можно обнаружить по следующим признакам:
-
Появление нового exe-файла с необычным названием в локальном каталоге пользователя, например, C:\Users\***\AppData\Local\Pepebekap\Kebopeb.exe или C:\Users\***\AppData\Local\Kakobebabe\Lebobobela.exe
-
Появление такого файла в списке автозагрузки.
-
Незапланированная установка программ удаленного доступа, таких как Anydesk или TeamViewer.
Действия Контура для локализации инцидента
За сутки специалисты Контура провели исследование и реверс-инжиниринг образцов вредоносного ПО с привлечением специалистов «Лаборатории Касперского». Установили индикаторы компрометации и признаки заражения систем клиентов.
В сервисе Контур.Диадок предприняты следующие меры:
-
Выявлены и пресечены процессы распространения трояна среди клиентов, включая выборочное ограничение функциональности сервиса.
-
Заблокированы вредоносные файлы в объектном хранилище сервиса.
-
Актуализированы средства и системы обнаружения вредоносного ПО.
-
Производится непрерывный контроль за попытками распространения вредоносных файлов.
-
Проведена адресная работа с пострадавшими клиентами и оказание помощи в устранении последствий инцидента.
Что делать, если вы получили неизвестный архив
Если вы получили архив, действуйте так же, как в случае с любым другим подозрительным файлом в почтовом сервисе — не запускайте содержащиеся в нем исполняемые файлы.
Так как троян направлен на хищение денежных средств через системы дистанционного-банковского обслуживания и иные системы формирования платежных документов, внимательно контролируйте платежные поручения, которые вы отправляете. Особое внимание уделите реестрам платежных поручений: как правило, банковский троян добавляет «мошенническую платежку» в пачку платежей.
Проконтролируйте доступы к электронным подписям, которые вы используете для подписания платежных поручений, а также старайтесь использовать многофакторную аутентификацию при работе с финансовыми транзакциями.
Сотрудники СКБ Контур могут написать на электронную почту только с домена skbkontur.ru или позвонить с номеров: +7 343 344-10-10, +7 343 228-29-99.
Каким образом сервис Диадок обеспечивает контроль содержимого передаваемых файлов? Разве на базовом уровне архивы не проверяются антивирусной системой? Получается, что через сервис Диадок можно передавать любой файл с вирусом проще, чем по электронной почте?
Вы пишите: Сам сервис Диадок не был взломан. Для вредоносной рассылки использовали стандартную возможность продукта — отправку документов из веб-приложения.
Что за стандартная возможность продукта автоматически отправлять файлы из веб-приложения? Если под веб-приложением вы понимаете работу через браузер, то как возможна автоматизированная отправка? Это же нужно зайти на сайт, провести авторизацию, перейти в нужный раздел, выбрать файл с компьютера, выбрать получателей и отправить. Насколько мне известно автоматически такие действия не умеет делать ни один скрипт. Таким образом либо у вас серьезная дыра в коде, либо один из ваших клиентов сделал это намеренно. В новости нет информации об этом.
Мы серьезно относимся к безопасности наших пользователей и уже предприняли все необходимые меры для защиты сервиса от вредоносных программ. Если вы вдруг обнаружите в Диадоке подозрительные документы с вредоносным ПО или сомнительными ссылками, пожалуйста, сразу же сообщите об этом в нашу поддержку.
Я не прошу вас публично раскрывать методику защиты, безусловно это конфиденциальная информация, я бы очень удивился, если бы вы ее опубликовали. Мой вопрос простой — вы проверяете файлы на вирус при загрузке их на ваш сервер или нет? Это критичный момент для любого специалиста в ИТ-безопасности, от этого зависит сценарии защиты в самой организации, которая пользуется вашим сервисом. Если вы прямо не ответите на вопрос, значит можно считать сервис Диадок небезопасным и уязвимым для рассылки файлов с вредоносным кодом.
Второй вопрос касается самой новости. В таком серьезном инциденте почему-то написана очень нелепая с технической точки зрения фраза: «Для вредоносной рассылки использовали стандартную возможность продукта — отправку документов из веб-приложения».
Да, понятно, что ваши сервера скорее всего не были взломаны, а исходный код не модифицирован, но что за стандартная возможность отправки документов из веб-приложения, которой может воспользоваться скрипт без участия человека? Вы либо обобщенно опишите, какие действия выполнял скрипт и какие меры для защиты вы приняли, либо прямо сообщите, что файл был отправлен самим пользователем.
1. Да, мы проверяем все передаваемые через нас файлы на наличие вирусов. Проблема с этой ситуацией в том, что на момент атаки вирус не детектировался известными антивирусами
2. Не совсем понятно, как вы сделали такие выводы. Вирус получал доступ к компьютеру, злоумышленник мог как через удалённый доступ совершать действия, так и использовать RPA-роботов для выполнения своих задач
Надеюсь, что помог вам разобраться в ситуации
п. 2 — понимаю о чем вы говорите, хоть и сложно, но возможно. Может имеет смысл подумать о 2FA при отправке неформализованных документов? Технически внедрить достаточно просто, тем более у вас есть опыт с авторизацией в профиле.
ВПО можно рассылать и через формализованные документы в том числе, есть сценарии социальной инженирии