导语:赛门铁克发现一种新型木马,主要针对与Carbanak相关的银行机构,Carbanak是一个网络犯罪团伙,在2013和2014年间共计从30多个国家的100多个银行盗取超过10亿美元的资金。

近日,赛门铁克发现一种新型木马,主要针对与Carbanak相关的银行机构,Carbanak是一个网络犯罪团伙,在2013和2014年间共计从30多个国家的100多个银行盗取超过10亿美元的资金。

Carbanak组织是由来自亚洲和欧洲等多个国家的黑客所组成的,其攻击目标一直都是银行,金融机构,软件销售企业,以及专业服务公司中的高层管理人员。已知的攻击行动最早可追溯到2013年年底,攻击者利用一种名为“Carbanak”的恶意软件成功入侵了大约30个国家的超过100家金融企业。

下面列出了部分与Carbanak有关的攻击活动:

1. 针对中东国家,美国,以及欧洲等多个地区的金融公司进行攻击。受攻击的用户主要是金融机构中的高层管理人员和决策人员。
2. 利用网络钓鱼邮件传播恶意URL地址,包含有恶意宏的文件,以及能够触发软件漏洞的文件。
3. 利用Spy.Sekur(Carbanak恶意软件)和一些其他的恶意软件来远程获取木马病毒,例如jRAT,Netwire,Cybergate等等。

Odinaff专门针对银行业

这款名为“Odinaff”的新型木马最初确定于2016年1月,主要用于攻击银行业,其他的也包括证券、贸易、薪酬等金融垂直领域。

【Odinaff木马数据展示】

但是,赛门铁克公司表示,他们在活跃于各领域的电脑上都发现了该类型木马,这些电脑的一个共同特征就是运行了金融相关的软件程序,这也意味着该网络犯罪团伙具有强烈的金融攻击偏好。

赛门铁克研究人员表示,攻击者使用鱼叉式网络钓鱼攻击的手段,针对选定的受害者发送精心设计的含有恶意Word文档的电子邮件。

Odinaff的攻击过程

一旦目标受害者点击恶意文档,就会下载安装Odinaff恶意软件,根据赛门铁克研究人员的说法,Odinaff是一个相对简单的工具。

研究人员表示,Odinaff木马的主要目的是扎根在受感染的计算机中,获取持久的boot功能,随后再下载其他恶意软件以催化更复杂的攻击行为。

赛门铁克研究人员通过观察发现,Odinaff 下载的工具包括Mimikatz密码获取应用,PsExec程序执行工具包,Netscan网络扫描仪,Ammyy管理远程桌面工具,以及Runas,一个允许用户用其他权限运行指定程序的工具。

赛门铁克表示,在一些情况下, Odinaff 会下载Batel 后门木马,而Batel木马是之前Carbanak组织在过去的攻击活动中常用的工具。

除Batel木马外,赛门铁克还发现Odinaff 使用的三个 C&C服务器IP地址也与之前的Carbanak攻击活动相关。此外,其中一个IP地址还与此前Carbanak团伙针对OracleMICROS安全漏洞发起的攻击相关,

除了常规的部署在银行和金融公司的金融软件外,Odinaff还被发现用于攻击高度敏感的SWIFT国际银行交易系统,SWIFT是一个银行业必须采取高级安全防御措施进行维护的IT系统。

研究人员表示:

赛门铁克已经发现证据表明Odinaff犯罪团伙已经针对SWIFT用户发起攻击,通过恶意软件隐藏用户自己真实的 SWIFT信息记录,呈现其虚假的交易记录。该工具主要用于监视客户的本地消息日志,通过捕捉有关特定交易的关键字。随后将这些日志从客户的本地SWIFT软件环境中移除。

虽然Odinaff木马中包含自定义的C-coded模式来隐藏非法的SWIFT银行交易,但是赛门铁克公司并不认为最近发生的针对SWIFT系统攻击浪潮与之有关。

那些针对SWIFT系统的攻击事件是一支名为“Lazarus”小组的黑客所为,使用的恶意软件名为“Banswift”。虽然两个恶意软件的攻击目标同为SWIFT系统,但是并未发现Banswift与Odinaff分享任何代码。

最后,值得欣慰的是,这款新型的恶意软件的攻击目标只有银行系统及其员工,而不包含其客户,所以用户们可以稍微松口气了。

源链接

Hacking more

...