銀行大盜“Carbanak”木馬的攻擊目標(biāo)正移至中東
2016-03-20 17:31:00 來(lái)源：來(lái)源：FreeBuf 評(píng)論：0 點(diǎn)擊：

近日，安全公司Proofpoint在收集了黑客組織Carbanak最新活動(dòng)信息稱，目前該組織的攻擊目標(biāo)正在轉(zhuǎn)向中東金融行業(yè)高管。

51CTO首屆中國(guó)APP創(chuàng)新評(píng)選大賽正在招募>>

近日，安全公司Proofpoint在收集了黑客組織Carbanak最新活動(dòng)信息稱，目前該組織的攻擊目標(biāo)正在轉(zhuǎn)向中東金融行業(yè)高管。

Carbanak組織正在轉(zhuǎn)移攻擊目標(biāo)

根據(jù)最新信息顯示，該組織主要針對(duì)中東、美國(guó)等地區(qū)的銀行開展網(wǎng)絡(luò)攻擊。一年前，卡巴斯基實(shí)驗(yàn)室曾發(fā)出警告：小心網(wǎng)絡(luò)罪犯采用具有政府背景的APT工具和策略搶劫銀行。當(dāng)時(shí)除了該組織之外，還發(fā)現(xiàn)兩個(gè)分別名為Metel和GCMAN的攻擊組織利用同樣的攻擊方式打劫銀行。這些攻擊組織使用隱蔽的APT偵察手段和定制的惡意軟件以及合法軟件進(jìn)行攻擊，并利用最新的創(chuàng)新手段竊取資金。在2015年9月國(guó)際戰(zhàn)略研究中心(CSIS)的安全小組發(fā)現(xiàn)了臭名昭著的Carbanak木馬的新變種傳播在網(wǎng)絡(luò)上，其目標(biāo)直指歐美的金融組織。

CSIS在一篇博文中描述道：

“最近，CSIS在進(jìn)行的一項(xiàng)涉及到微軟Windows客戶端的取證分析中發(fā)現(xiàn)，其企圖進(jìn)行網(wǎng)上銀行欺詐交易。調(diào)查取證中，我們?cè)O(shè)法分離出來(lái)一個(gè)擁有簽名的二進(jìn)制文件，后來(lái)我們發(fā)現(xiàn)這是一個(gè)Carbanak的新型變種。我們推測(cè)這個(gè)變種的目的是從欺詐交易中獲取資金。“

卡巴斯基出具的一份報(bào)告中表明：

“涉及到Carbanak的轉(zhuǎn)賬交易數(shù)量很頻繁。Carbanak這個(gè)跨國(guó)團(tuán)伙很有可能已經(jīng)注冊(cè)了一家公司并擁有一個(gè)銀行賬戶，這樣他們可以輕易將偷來(lái)的錢轉(zhuǎn)移到公司賬戶并完全控制轉(zhuǎn)賬過(guò)程。”

在上個(gè)月，卡巴斯基安全實(shí)驗(yàn)室聲稱“Carbanak cybergang”歸來(lái)，并與其它一些黑客組織采用類似的APT攻擊手法。新型Carbanak木馬被指依賴于預(yù)先設(shè)置的IP地址，并且為了躲避查殺，它的數(shù)字證書簽名是俄羅斯一家批發(fā)公司。目前卡巴斯基已經(jīng)證實(shí)Carbanak gang( Carbanak 2.0)，目前在對(duì)不同類型的公司進(jìn)行網(wǎng)絡(luò)攻擊，包括金融機(jī)構(gòu)、電信公司等。

該組織該對(duì)俄羅斯銀行使用一種惡意軟件Metel(Corkow)，利用該惡意軟件發(fā)送魚叉式網(wǎng)絡(luò)釣魚電子郵件。

本周Proofpoint研究人員發(fā)現(xiàn)了一個(gè)新的趨勢(shì)，該組織主要針對(duì)中東多個(gè)目標(biāo)發(fā)起網(wǎng)絡(luò)攻擊，例如黎巴嫩、也門等。而在這些活動(dòng)中，主要針對(duì)的是高層管理人員，例如銀行和軟件公司的業(yè)務(wù)經(jīng)理等。攻擊者發(fā)送的叉式網(wǎng)絡(luò)釣魚電子郵件中包含一個(gè)惡意的URL鏈接，同時(shí)利用一個(gè)舊版本的Office軟件漏洞(CVE-2015-2545)，并為下載 Carbanak提供一個(gè)有效路徑(Spy.Sekur)。

攻擊范圍也在擴(kuò)大

在一些情況下，攻擊者發(fā)送的郵件中含有jRAT遠(yuǎn)控木馬，Proofpoint發(fā)布報(bào)告稱：

“我們最近發(fā)現(xiàn)了Carbanak組織的一些企圖，攻擊在中東、美國(guó)以及歐洲金融或涉及財(cái)務(wù)公司的高層管理人員，釣魚郵件還有鏈接、宏文件、利用漏洞文檔，利用Spy.Sekur(Carbanak惡意軟件)，遠(yuǎn)程木馬病毒(jRAT、Netwire、 Cybergate )，這樣做可以讓第三方獲取訪問(wèn)權(quán)限。”

報(bào)告中這樣描述：

“與之前3月1日活動(dòng)不同的是，文檔中包含了鏈接，同時(shí)在郵件中添加了附件，這兩個(gè)文檔“emitter request_2016-03-05-122839.doc”以及“Reverse debit posted in Error 040316.doc”，利用自動(dòng)運(yùn)行宏從hxxp://154.16.138[.]74/sexit.exe，最終下載 Spy.Sekur。”