# Новые целевые атаки RTM **securelist.ru/new-targeted-attacks-rtm/100720/** [Исследование](https://securelist.ru/category/research/) [Исследование](https://securelist.ru/category/research/) 03 Мар 2021 мин. на чтение ----- Авторы [Сергей Голованов](https://securelist.ru/author/sergeygo/) Мы обнаружили новую вредоносную кампанию, за которой стоит русскоговорящая группировка RTM. Ее активная фаза началась в декабре 2020 года и продолжается до сих пор. Целью злоумышленников были деньги, однако в этот раз они не ограничились установкой банкера Trojan-Banker.Win32.RTM и [подменой банковских реквизитов – в](https://securelist.ru/banker-arnold-twobee-or-not-twobee/80191/) ход также пошли шифровальщик и шантаж. Нам известно о примерно десяти жертвах среди российских организаций из сфер транспорта и финансов. Подготовительная фаза кампании началась еще в середине 2019 года, когда ряд организаций получили фишинговые письма с «корпоративными» заголовками: «Повестка в суд», «Заявка на возврат», «Закрывающие документы» или «Копии документов за прошлый месяц». Текст письма был кратким, и для получения подробной информации требовалось открыть приложенный файл. Если получатель выполнял требование, на его компьютер устанавливалось вредоносное ПО – TrojanBanker.Win32.RTM. Для последующего закрепления в системе и продвижения внутри локальной сети организации злоумышленники использовали легитимные программы для удаленного доступа, такие как LiteManager и RMS, а также несколько самодельных вредоносных утилит небольшого размера. Основной задачей злоумышленников был поиск компьютеров, принадлежащих сотрудникам бухгалтерии, и вмешательство в работу установленной системы дистанционного банковского обслуживания (ДБО), в частности, подмена реквизитов во время проведения финансовых операций. ----- Но если раньше неудачное вмешательство в работу ДБО останавливало злоумышленников (или вынуждало предпринимать новые и новые попытки), то в рамках обнаруженной кампании они подготовили запасной план, и не один. Если банкер RTM не справлялся с работой, в дело вступала другая вредоносная программа – ранее неизвестный нам троянец, получивший впоследствии вердикт TrojanRansom.Win32.Quoter. Он шифровал содержимое всех компьютеров, до которых киберпреступники успели дотянуться, и оставлял сообщение с требованием выкупа. К этому времени с момента закрепления RTM в сети организации проходило несколько месяцев. _Пример зашифрованного файла, новое расширение — .1111_ Шифровальщик мы назвали Quoter, т.к. в код зашифрованных файлов он добавлял цитаты из популярных кинофильмов. Для работы зловред использует алгоритм AES256 CBC. ----- _Фрагмент кода троянца Trojan-Ransom.Win32.Quoter_ Если же и запасной план не срабатывал по тем или иным причинам, то спустя пару недель злоумышленники переходили к шантажу. Жертва получала сообщение, что ее данные были украдены и их возвращение обойдется буквально в миллион долларов (естественно, в биткоинах). В случае неуплаты вымогатели угрожали выложить конфиденциальную информацию в интернет для свободного скачивания. На размышление отводилось несколько дней. Примечательным в этой истории является не только переход стоящей за RTM группировки на нетипичные для нее методы «заработка» и инструменты – вымогательство и доксинг вполне укладываются в тренды последних лет. Необычно, что злоумышленники атакуют организации в России, хотя, как правило, шифровальщики используются в целевых атаках на организации из других стран. **IoC** [589ab3de15696b51e77b8923d1ed7e40 — Trojan-Ransom.Win32.Quoter](https://opentip.kaspersky.com/589ab3de15696b51e77b8923d1ed7e40/) Авторы ----- [Сергей Голованов](https://securelist.ru/author/sergeygo/) Новые целевые атаки RTM Ваш e-mail не будет опубликован. Обязательные поля помечены * Подпишитесь на еженедельную рассылку Самая актуальная аналитика – в вашем почтовом ящике ----- Отчеты ## Lazarus распространяет протрояненный DeFi-кошелек Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus. ## MoonBounce: скрытая угроза в UEFI В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41. ## PuzzleMaker атакует, используя цепочку эксплойтов нулевого дня под Chrome Мы зафиксировали волну целевых атак, для осуществления которых использовалась цепочка эксплойтов нулевого дня для Google Chrome и Microsoft Windows. ## Lazarus атакует оборонную промышленность с помощью ThreatNeedle В 2020 году мы обнаружили, что группировка Lazarus запустила атаки на оборонную промышленность с использованием вредоносных программ ThreatNeedle, относящихся к кластеру вредоносного ПО Manuscrypt (также известен как NukeSped). ----- Подпишитесь на еженедельную рассылку Самая актуальная аналитика – в вашем почтовом ящике ----- Подпишитесь на еженедельную рассылку Самая актуальная аналитика – в вашем почтовом ящике -----