12.06.2018 | 06:41

Adam Haertle

Serwery ERGO Hestia wykorzystane w ataku na tysiące polskich internautów

Z reguły wiadomości wysłane przez przestępców ekspert rozpozna od ręki. Sfałszowany adres nadawcy, e-mail wyszedł z niepowiązanych serwerów – dla fachowca to proste. Ten atak był jednak inny, zdecydowanie lepszy.

Wczoraj rano do skrzynek tysięcy Polaków trafiła wiadomość, która została wysłana z serwerów firmy ubezpieczeniowej ERGO Hestia, a w swojej treści nawiązywała do profilu działalności nadawcy. Ten bardzo dobrze przygotowany atak mógł odnieść ogromny sukces – gdyby nie niezwykle szczęśliwa wpadka przestępców.

Informacja o rozdysponowaniu wpłaty

Wiadomość wyglądała następująco:

Szanowny Kliencie,
w załączeniu przesyłamy korespondencję w sprawie przysługującego zwrotu nadwyżki.

W związku z tym zwracamy się z prośbą o złożenie dyspozycji określającej formę wypłaty umożliwiającej jej zwrot.

Najszybszą formą realizacji zwrotu jest przelew bankowy, więc zachęcamy do wskazania numeru rachunku bankowego, na który zostanie zrealizowany przelew.

Dyspozycję można złożyć drogą telefoniczną kontaktując się z Infolinią Ergo Hestia (dostępną całą dobę pod numerem telefonu 801 107 107).

Z poważaniem
Paweł xxxx
STU Ergo Hestia S. A.

Treść wiadomości wyglądała, jakby nadawcą był pracownik ERGO Hestia. Adres nadawcy wskazywał na serwery ERGO Hestia. Co jednak mówił element najważniejszy, czyli nagłówki wiadomości?

Received: from smtp1.hestia.pl (HELO smtp.ergohestia.pl) ([91.198.179.205])
(envelope-sender <[email protected]>)
by mx.wp.pl (WP-SMTPD) with DHE-RSA-AES256-SHA encrypted SMTP
for xxx; 11 Jun 2018 06:08:37 +0200
Received: from (prod-zimbra-app01.hestia.polska [10.200.31.191]) by smtp1.ergohestia.pl with smtp
(TLS: TLSv1/SSLv3,256bits,AES256-SHA)
id 6cc6_5149_1cc7a97a_6d2d_11e8_97d4_00137263bdec;
Mon, 11 Jun 2018 06:08:35 +0200
Received: from prod-zimbra-app01.hestia.polska (localhost [127.0.0.1])
by prod-zimbra-app01.hestia.polska (Postfix) with ESMTPS id C4703A2C1D82
for xxx; Mon, 11 Jun 2018 04:49:46 +0200 (CEST)
Received: from localhost (localhost [127.0.0.1])
by prod-zimbra-app01.hestia.polska (Postfix) with ESMTP id A04B7C239395
for xxx Mon, 11 Jun 2018 04:46:34 +0200 (CEST)
X-Virus-Scanned: amavisd-new at prod-zimbra-app01.hestia.polska
Received: from prod-zimbra-app01.hestia.polska ([127.0.0.1])
by localhost (prod-zimbra-app01.hestia.polska [127.0.0.1]) (amavisd-new, port 10026)
with ESMTP id BG_JLv7jfKKu for xxx;
Mon, 11 Jun 2018 04:46:34 +0200 (CEST)
Received: from FDGVHBKLKPOJBD (unknown [46.246.119.242])
by prod-zimbra-app01.hestia.polska (Postfix) with ESMTPSA id 044F9A2C1D7F
for xxx; Mon, 11 Jun 2018 04:43:26 +0200 (CEST)

Ile razy byśmy ich nie czytali, zawsze okazuje się, że wiadomość faktycznie wyszła z serwerów pocztowych ERGO Hestia. Najwyraźniej zatem przestępcy uzyskali dostęp do konta co najmniej jednego użytkownika (we wszystkich próbkach widzieliśmy ten sam adres) na serwerach pocztowych ERGO Hestia i użyli go, by rozesłać złośliwe oprogramowanie do swoich ofiar.

Złośliwy załącznik

Co było w załączniku? Kawał polega na tym, ze prawdopodobnie nic. Nie taka jednak była intencja przestępców. We wszystkich zbadanych przez nas próbkach złośliwy kod z załącznika usunął… system antywirusowy na serwerach ERGO Hestia. Ich zawartość była plikiem HTML i wyglądała tak:

Wygląda zatem na to, że przestępcy mogli zaliczyć sporą wpadkę – co najmniej dla dużej części wysyłki zadziałały mechanizmy bezpieczeństwa, które wycięły ich złośliwy ładunek, zanim trafił do skrzynek odbiorców.

Co zatem miało być ładunkiem? W oparciu o dostęp do analogicznych próbek złośnika (to nie była jedyna kampania, która dążyła wczoraj do tego samego celu) możemy wstępnie wskazać, że celem przestępców było pobranie kodu klasyfikowanego przez ESET najpierw jako Win32/TrojanDownloader.Danabot.A trojan, a w kolejny etapie Win32/Spy.Danabot.B trojan. Ma to być rzekomo nowy wariant bankowego konia trojańskiego. Złośliwy kod miał być pobierany z serwera:

http://198.12.113.17/

Dobrze przygotowana akcja o dużej szansie powodzenia

To pierwszy obserwowany przez nas przypadek, gdy prawdziwe konto firmowe w Polsce użyte jest do masowego rozesłania złośliwego oprogramowania do ofiar. Masowego, ponieważ po liczbie otrzymanych przez nas zgłoszeń szacujemy, że wysyłka mogła trafić do kilkudziesięciu tysięcy osób. Przestępcy uzyskali dostęp do firmowego konta pocztowego (warto zauważyć, że nie było to konto pracownika ERGO Hestia, lecz współpracownika – agenta, przez co zapewne było słabiej chronione) i stworzyli wiarygodnie wyglądającą wiadomość (lub ukradli jej wzorzec z konta ofiary). Zwróćcie także uwagę na porę wysyłki – obserwowaliśmy e-maile doręczane ok. godziny 3-4 rano, co oznacza, że działu IT jeszcze nie ma w pracy (nikt nie przerwie akcji), ale zaraz odbiorcy siądą do swoich komputerów. Ktoś to dobrze przemyślał. Nie jest także wykluczone, że na początku e-maile mogły docierać do skrzynek odbiorców ze złośliwym załącznikiem – jeśli macie taką próbkę, to poprosimy (unieszkodliwiona ma w archiwum plik o nazwie 0_warning.htm).

Niech ten ciekawy incydent będzie ostrzeżeniem dla innych firm. Czy z Waszego serwera pocztowego da się zdalnie wysłać tysiące e-maili naraz? My dodajemy go do listy przypadków omawianych podczas naszych wykładów uświadamiających użytkowników – świetny przykład pokazujący, że czasem dopiero na etapie załącznika można mieć poważne wątpliwości.

O komentarz do tego incydentu poprosiliśmy ERGO Hestia – jak tylko dotrze, zamieścimy odpowiednią aktualizację.

Aktualizacja 2018-06-12 13:00

Otrzymaliśmy bardzo obszerny komunikat ERGO Hestia, który cytujemy w całości.

Oświadczenie ws. ataku hakerskiego z dn. 11 czerwca 2018 roku

W nocy z 10 na 11 czerwca br.,  wykorzystując  fałszywą   tożsamość  pośrednika ERGO Hestii, z adresu [email protected] wysłano masowo, do nieznanej liczby odbiorców wiadomość, dotyczącą zwrotu nadpłaconej składki. Pod wiadomością znajdował  się podpis „Paweł Kolasa STU ERGO Hestia”. Niezwłocznie po uzyskaniu tej informacji zablokowaliśmy dalszą wysyłkę.

Według naszych ustaleń był to pierwszy w Polsce atak związany z próbą wykorzystania serwerów korporacji do masowego rozesłania złośliwego oprogramowania. Do ataku wykorzystano przejęte konto pocztowe jednego ze współpracujących z naszym towarzystwem agentów.

Zabezpieczenia infrastruktury ERGO Hestii nie zostały przełamane. Wstępne analizy potwierdzają, że mechanizmy bezpieczeństwa usunęły z rozesłanych do przypadkowych odbiorców maili złośliwy kod, zanim ten trafił na ich skrzynki pocztowe. W efekcie wprawdzie haker wysłał fałszywe maile, ale dzięki odpowiedniej konfiguracji systemów antywirusowych, zainstalowanych również dla poczty wysyłanej przez agentów, były one nieszkodliwe.

Tego samego dnia poinformowaliśmy o próbie ataku naszych pośredników, rekomendując im m.in. niezwłoczną zmianę poświadczeń do programów pocztowych oraz skanowanie komputerów oprogramowaniem antywirusowym.

Nadal trwają prace weryfikujące szczegóły ataku.

Bezpieczeństwo danych naszych Klientów i Partnerów Biznesowych jest dla nas sprawą najwyższej wagi.  Stale monitorujemy naszą infrastrukturę i podnosimy skuteczność zabezpieczeń.

Procedury i procesy obsługowe ERGO Hestii zdały egzamin i zadziałały zgodnie z założeniami.

Arkadiusz Bruliński

Rzecznik prasowy Grupy ERGO Hestia

Firmie pozostaje pogratulować profesjonalnej reakcji na incydent – liczymy także na dalsze wyjaśnienia, gdy uda się ustalić szczegóły ataku.

Powrót

Komentarze

  • 2018.06.12 07:50 Trojan

    Na avlab podają trochę więcej IoC co może się przydać w rozpoznaniu trojana:

    https://avlab.pl/pl/uwaga-na-maile-podszywajace-sie-pod-grupe-stu-ergo-hestia-i-biuro-rachunkowe-tomfis

    Odpowiedz
  • 2018.06.12 09:22 kostarika

    Hmmm dziwne, bo Zimbra ma jakiś domyślny limit dla wysyłanych wiadomości i nie sądzę aby go administrator usunął. Skoro Zimbra odfiltrowała malware (domyślnie ma ClamAV chyba że ERGO ma dokupionego jeszcze dodatkowo jakiś komercyjny AV) to w zasadzie większość filtrów po stronie odbiorców zrobiłaby to samo.
    Patrząc na nagłówki SMTP to dziwne, że poszło tym 205 (smtp1) bo patrząc tutaj:
    https://www.talosintelligence.com/reputation_center/lookup?search=91.198.179.205

    to wygląda, że domyślnie poczta powinna wychodzić przez 207 (smtp)

    Odpowiedz
  • 2018.06.12 09:56 Krzyś

    Zaufana Trzecia Strona robi się jakaś taka … pudelkowata – ten krzyczący tytuł o tysiącach polskich internautów…

    e-maile w postaci [email protected] to skrzynki pocztowe agentów. Ktoś przypadkiem zainfekował komputer pana Pawła Kolasy i wykorzystał dane z programu pocztowego, jakie tam znalazł. Albo (za Niebezpiecznikiem) jego komputer zmienił właściciela.

    ps. niebezpiecznik po pierwsze nie dał aż tak pudelkowatego tytułu a po drugie odrobił lekcję i sam sprawdził, że to e-mail agenta, a nie „pracownika Hestii”.

    Odpowiedz
    • 2018.06.12 10:35 Adam Haertle

      Gdybys doczytał artykuł do końca to zobaczyłbyś że informacja o koncie agenta jest tam od samego początku. Pozdrawiam serdecznie.

      Odpowiedz
    • 2018.06.12 16:14 NN

      Przypełzło również na spamtrapa (na wyłącznie w tym celu publikowane adresy e-mail) więc na pewno nie tylko słali na to co znaleźli w przejętej skrzynce/książce adresowej.
      Przy okazji – ktoś na mordpliku umieścił link do następującego zgłoszenia do spamcopa: z6468197178z9a62578eef86b0a4ca87c7cfe0995a2az

      Odpowiedz
  • 2018.06.12 10:12 Tenfilip

    @Z3S, dajcie znać, jak z punktu widzenia RODO sobie poradzili, umieram z ciekawosci czy poinformowali odpowiednie urzedy, klientow i jaka dostana kare.

    Odpowiedz
    • 2018.06.12 12:45 Krzysztof

      To nie tylko kwestia rodo a wlamanie na skrzynke pocztowa – to juz KK :) owszem jak sie okaze ze skzrynka imap i trzymana calosc na serwerze to juz gorzej – tak czy siak to kwestia agentow i ich dostepu do sieci a nie Hesti jako takiej

      Odpowiedz
  • 2018.06.12 10:59 Dyrektor RODO

    Czy macie gdzies probke tego co rozsylal Janusz hackingu?

    Odpowiedz
  • 2018.06.12 19:05 C. Bolek

    „Procedury i procesy obsługowe ERGO Hestii zdały egzamin i zadziałały zgodnie z założeniami.”
    No, mam wątpliwości. Uratowało ich TYLKO to, że kod był znany programowi AV. Gdyby ktoś użył 0-day, to umarł w butach …
    „procedury i procesy” też :-\

    Odpowiedz
  • 2018.06.18 12:23 do C Bolek

    „No, mam wątpliwości. Uratowało ich TYLKO to, że kod był znany programowi AV. Gdyby ktoś użył 0-day, to umarł w butach …
    „procedury i procesy” też :-\”

    EH ma niewielki wpływ na pracę agencji ubezpieczeniowej a co za tym idzie co pracownik agencji robi na sprzęcie agencji
    to tak jakby oskarżać sklep o to że w zapakowanym pojemniku z cukrem jest sól

    Odpowiedz
  • 2018.08.20 12:19 NN

    Nowa kampania – tym razem spam nigeryjski gdzie „do odbioru jest aż 950 000,00 €”.
    Żeby było ciekawiej to przypełzło z tego samego IP serwera hestii co poprzednio a wysłane na serwery hestii oczywiście z nigeryjskiego IP ;)

    Odpowiedz

Zostaw odpowiedź do Trojan

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Serwery ERGO Hestia wykorzystane w ataku na tysiące polskich internautów

Komentarze