俄罗斯财务部门遭黑,未来或将蔓延全球

关注 2019-04-12 06:28:58 查看数 9132 ,评论数 0 资讯

网络安全公司Cofense Intelligence TM发现了一次新的网络钓鱼活动,鉴于其攻击策略的多样性,其目标很容易扩大,引发更大的危害。目前,攻击者正在瞄准俄罗斯和其邻国的财政金融部门,使用RTM Bot来分发银行木马。


细节分析


Cofense Intelligence TM深入分析了此次网络钓鱼活动,该活动主要利用了一个银行木马,目标是俄罗斯和其邻国。RTM Bot由一个同名的黑客组织开发,他们针对的是不同行业的财务部门。这种模块化的银行木马具有许多独特的功能,例如从财务软件中窃取数据和收集智能卡信息。这次钓鱼活动相关通知文字通常使用西里尔语编写。

与此钓鱼活动相关的电子邮件


RTM Bot在最初扫描端点驱动器时以财务软件为目标。扫描会查找与俄罗斯远程银行系统相关的任何项目,并将找到的信息转发给C2服务器以获取进一步指示。RTM Bot搜索Web浏览器历史记录,且能访问当前打开的选项卡,查找任何银行URL。在最初扫描后,银行木马会采集信息,有效地对设备进行指纹识别。

与财务软件相关的字符串


某些财务软件需要使用智能卡(smart card)对软件进行身份验证并访问与之相关的数据。RTM Bot尝试通过扫描注册表和连接的设备来定位这些智能卡读取器。如果找到智能卡,该银行木马就会与Winscard API函数交互以获取信息,随后将收获的信息保存在内存缓冲区中,直到将其发送至C2服务器。图3显示了与智能卡搜索和API交互相关的一些内存字符串。

与智能卡搜索和API交互相关联的内存字符串


在尝试泄露收集的信息之前,该银行木马将查找主机的外部IP地址并将值添加到其集合中。它使用对网站hxxp://myip[.]ru/index_small[.]php的GET请求来收集受感染设备的外部IP。

收集设备外部IP的GET请求


RTM Bot在设备指纹识别过程中收集的其他值包括:

  • 用户名
  • 设备名称
  • 登录用户权限
  • 操作系统版本
  • 已安装的防病毒软件
  • 时区
  • 默认语言

此恶意软件的旧版本使用区块链域名服务(BDNS)作为其C2基础设施。相较而言,新版本中最大的变化是将洋葱路由(TOR)通信协议用于C2基础设施。值得注意的是,RTM Bot不会安装TOR客户端,相反,它使用洋葱库,通常称为TOR SOCKS。不安装TOR客户端,RTM Bot能够最大限度地减少了被操作系统中防病毒软件检测到的可能性。

与TOR C2基础设施相关的内存字符串

总结


RTM Bot具有许多银行特洛伊木马的常见功能,包括键盘记录和屏幕截图。它还可以使用模块进行预编译,也可以按照C2的指示下载和执行模块。尽管RTM威胁组织专注于特定国家/地区的财务部门,但其想要转换目标还是非常轻松的。


RTM Bot最新版本使用TOR通信协议,显示了该组织正在积极开发这种银行木马以备将来使用。TOR通信协议的隐私和额外加密功能标志着威胁行为者更加注重攻击活动隐蔽性。


尽管如此,通过技术控制可以在一定程度上帮助抵御这种威胁,例如,阻止与TOR节点的连接,并检查网络连接尝试的网络流量。除此之外,更主动的做法是,教育终端用户时刻警惕不断发展的网络钓鱼策略。

交流评论(0)
Loading...
点击 ,就能发表评论哦~如果您还没有账号,请 一个吧
css.php
正在加载中...