导语:来自莫斯科的网络安全公司Group-IB于本周一发表了一份长达36页的报告,其间详细介绍了最新发现的一个名为“MoneyTaker”的黑客组织,该组织从2016年5月开始一直活跃至今。
来自莫斯科的网络安全公司Group-IB于本周一发表了一份长达36页的报告,其间详细介绍了最新发现的一个名为“MoneyTaker”的黑客组织,该组织从2016年5月开始一直活跃至今。
研究人员表示,在2016-2017年这过去18个月中,该黑客组织已经针对各种金融机构实施了多达20多起攻击活动——成功窃取了超过1100万美元的资金以及其他可用于进一步攻击的敏感文件。据悉,这些受到影响的金融机构和律师事务所主要分布在美国、英国以及俄罗斯。
根据Group-IB安全公司介绍称,该黑客组织主要利用卡片处理系统(包括AWS CBR——俄罗斯银行同业系统,美国SWIFT国际银行信息服务系统)的漏洞针对金融机构发动一次又一次攻击活动。
Group-IB在其报告中指出,
犯罪分子窃取了拉丁美洲及美国的200 多家银行所使用的OceanSystems美联储链接传输系统内的文件。
Group-IB还警告称,“MoneyTaker”针对金融机构的攻击活动似乎正在进行中,所以,拉丁美洲的银行可能将成为他们的下一个目标。
MoneyTaker:1.5年的无声操作
Group-IB通过对“MoneyTaker”的活动进行分析后发现,该黑客组织首次攻击发生在 2016 年5月,当时,该组织设法访问了美国银行First Data的“STAR”网络(美国最大的银行信息系统,连接了超过 5000 家机构的ATM设备),并从中窃取了大笔资金。
First Data在一份声明中表示,在 2016 年早些时候,First Data发现一些在“STAR”网络运营的小型金融机构的凭证曾违反了借记卡管理规定,导致First Data开始执行新的强制性安全数据控制措施。First Data称,“STAR”网络从未被攻破。他们正在继续调查几起黑客研究如何通过SWIFT银行系统进行转账的事件,但没有说明黑客是否成功实施了此类攻击。
而自从去年5月首次成功发起攻击后,该组织又开始将目标锁定美国加利福尼亚州、伊利诺伊州、犹他州、俄克拉荷马州、科罗拉多州、南卡罗来纳州、密苏里州、北卡罗来纳州、弗吉尼亚州以及弗罗里达州的银行机构,主要针对的是网络防御体系薄弱的小型社区银行。
在针对这些目标的大量攻击活动中,MoneyTaker组织主要使用了各种公开可用的渗透测试和黑客工具,包括Metasploit、NirCmd、psexec、Mimikatz、Powershell Empire以及在2016年俄罗斯黑客会议上作为Poc展示的代码。
除了使用开源工具之外,该黑客组织还大量使用“Citadel”和“Kronos”银行木马来交付POS端恶意软件,名为“ScanPOS”。据悉,ScanPOS能够在执行过程中抓取有关当前正在运行的进程的信息,并收集受感染系统上的用户名和权限,也就是说,它主要用于转储进程内存并搜索支付卡跟踪数据。该木马使用Luhn算法检查收集的数据进行验证,然后将其发送到C&C服务器。
Group-IB还在其报告中指出,
该组织使用仅存在于RAM中的‘无文件’恶意软件,并在重新启动后销毁。为了确保在系统中的持久性,MoneyTaker主要依赖于PowerShell和VBS脚本——它们都很难通过防病毒软件检测到,并且易于修改。此外,为了将权限升级到本地管理员(或SYSTEM本地用户),攻击者使用标准Metasploit包中的exploit模块,或旨在绕过UAC技术的漏洞利用。有了本地管理员权限,他们就可以运用‘使用Meterpreter加载到内存中的’Mimikatz程序来提取未加密的Windows凭据。
此外,“MoneyTaker”还利用那些以知名品牌名称(包括美国银行,微软,雅虎和联邦储备银行)名义生成的SSL证书来隐藏其恶意流量。
攻击原理
Group-IB解释称,
该黑客组织的攻击原理非常简单。在控制银行网络后,攻击者会检查其是否能够连接到卡处理系统。之后,他们就可以使用‘金钱骡子(money mules)’从ATM机中提取资金。这些钱骡会提前激活卡片等待行动,攻击者在进入卡片处理系统后,就会对钱骡手中所持卡片的取款限额进行修改。之后,钱骡们就能够在不受透支限制的情况下提取现金,即便是普通的借记卡也能够透支现金。
据Group-IB公司安全研究人员表示,MoneyTake已经针对18 家银行机构发起了攻击活动,其中包括分布在美国10个州的15家银行金融机构,2家俄罗斯银行以及1家英国银行。除银行外,金融软件公司和一家律师事务所也成为了攻击目标。
Group-IB表示,在美国遭受攻击的15个ATM机上,每起被盗事件损失的资金平均为50万美元。俄罗斯每起事件平均损失为120万美元,但其中一家银行成功截获了一起攻击事件,并追回了部分被盗资金。
此外,该报告还详细介绍了一起针对俄罗斯银行的攻击,其中MoneyTaker组织使用了模块化恶意软件程序,此次攻击主要以AWS CBR(俄罗斯中央银行的自动化工作站客户端,与美国SWIFT类似的银行间资金转账系统)为目标。该模块化工具能够搜索付款订单并对其进行修改,用欺诈手段替换原始付款细节,并在完成任务后仔细清除恶意软件痕迹。
虽然目前还不清楚MoneyTaker是如何在公司网络中立足的,但在一个具体实例中我们发现,银行内部网络被成功攻破的切入点是该银行系统管理员的家用电脑。
最后,Group-IB认为,黑客现在正在寻找破解SWIFT银行间通信系统的方法,尽管最近在SWIFT系统上发生的任何网络攻击都没有发现有关MoneyTaker组织的证据。