Исследователи от FireEye показывают новое кольцо взламывания, которое предназначалось больше чем для 100 организаций финансовых услуг для получения сведения о непубличной финансовой информации.Активная группа, известная как FIN4, взламывает финансовые фирмы Уолл-стрит в попытке получить привилегированную финансовую информацию о непубличных предстоящих решающих для рынка объявлениях, согласно новому отчету от FireEye.Кампания FIN4 началась в середине 2013, по данным FireEye.
Шестьдесят восемь процентов компаний, которые были предназначены, являются публично торгуемым здравоохранением и фармацевтическими компаниями, в то время как 20 процентов были идентифицированы как фирмы, которые консультируют открытые акционерные компании по вопросам ценных бумаг, законных, и вопросы слияния и приобретения.Имя «FIN4» является тем, которое FireEye выбрал для группы, сказала Джен Видон, угроза менеджер intel в FireEye, eWEEK. «Мы используем FIN букв для групп, которые мы оцениваем, в финансовом отношении мотивированы; это – внутреннее обозначение», объяснил Видон.На данном этапе не совсем ясно, сколько денег группа FIN4 украла, хотя FireEye уверен, что у группы был значительный доступ к ценной служебной информации.
«Сумма служебной информации, к которой у них потенциально есть доступ со всеми учетными данными, которые они украли, колеблется и определенно дала бы им большой участок против среднего инвестора», сказал Видон.Путем FIN4 работает, левереджи группы много известных методов нападения для обманывания пользователей в отказ от учетных данных доступа. Методы, используемые FIN4, являются относительно простыми, но эффективными, сказала она.Один из используемых методов должен "использовать документы в военных целях".
Использованный в военных целях документ является тем, который выглядит законным, но, возможно, был украден от ящика входящих сообщений другой жертвы и может включать некоторую форму вредоносного или троянского вируса. FIN4 отправляет использованные в военных целях документы целям, которым верит группа хакера, имеют доступ к ценной инсайдерской финансовой информации.«Эти документы встроили злонамеренные макросы, которые, если пользователь вводит их учетные данные, позволяют FIN4 получать имя пользователя и пароль того пользователя», сказал Видон. «Тогда FIN4 имеет законный доступ к их ящику входящих сообщений».
Часто, нет никакого вредоносного программного обеспечения на машине жертвы, она сказала, добавив, что FIN4 может обработать очень реалистические сообщения и ввестись в продолжающиеся почтовые угрозы в ящиках входящих сообщений жертв, таким образом, они используют чистую социальную разработку для получения информации, они ищут.Идея использовать возможность макроса документа выполнить некоторую форму нападения не является новой. Хакеры FIN4 эффективно используют Microsoft Visual Basic (VBA) макросы, которые были тем же основным методом нападения, используемым хакерами в 1999 и 2000 с Мелиссой и макровирусами ILOVEYOU. До сих пор в 2014, однако, многократные поставщики сообщили, что увеличение VBA макробазировало вредоносное программное обеспечение, поскольку старый метод нападения монтирует возвращение.
Как потенциальная защита против атакующих FIN4, Видон сказал, что отключение макросов VBA в Microsoft Office по умолчанию поможет. Кроме того, блокирование доменов FIN4, которые FireEye идентифицирует в его отчете, является хорошей наиболее успешной практикой.
Видон также предлагает, чтобы организации позволили двухфакторной аутентификации для удаленного доступа Веб-почты далее снизить риск.Идя шаг вперед, Видон сказал, что FireEye совместно использовал свое исследование и результаты с проведением законов в жизнь.
Шон Майкл Кернер является главным редактором eWEEK и InternetNews.com. Следуйте за ним в Твиттере @TechJournalist.