RTM: атаки через «1С:Предприятие»

Группировка RTM использует специально разработанные программы, написанные на Delphi. Система телеметрии Eset LiveGrid зафиксировала первые следы этих вредоносных инструментов в конце 2015 года. Функционал RTM включает перехват нажатия клавиш, чтение смарт-карт, загрузку в зараженную систему новых модулей, мониторинг процессов, связанных с банковской деятельностью.

В фокусе атакующих — бухгалтерские системы, взаимодействующие с решениями дистанционного банковского обслуживания. Вредоносное ПО распространяется преимущественно через взломанные сайты и спам. Эти инструменты удобны для таргетированных атак, поскольку в первом случае атакующие могут выбирать площадки, посещаемые потенциальными жертвами, а во втором — отправлять письма с вредоносными вложениями напрямую нужным сотрудникам компаний.

Вредоносы RTM отслеживают появление в зараженной системе транспортного файла 1c_to_kl.txt. Его формирует программа «1С: Предприятие 8» для передачи платежного поручения из бухгалтерской системы в систему ДБО. Текстовый файл содержит детали исходящих платежей. Подменив реквизиты получателя, хакеры могут перевести средства компании на свои счета.

Схожие методы кражи средств использовала кибергруппировка Buhtrap, активная в 2014-2015 годах. Тем не менее, у этих групп различаются векторы заражения — в кампаниях Buhtrap чаще использовался фишинг. Также в прошлом атаки на российские системы ДБО практиковала кибергруппа Corkow.

Общее число обнаружений вредоносных программ семейства RTM невелико. Но с другой стороны, в их кампаниях используются сложные кастомные инструменты, что свидетельствует о высокой таргетированности атак.

По оценке экспертов Eset, снизить риск кражи средств позволяет шифрование платежных поручений, двухфакторная аутентификация, антивирусная защита корпоративной сети, обучение персонала основам информационной безопасности.