俄罗斯网络安全公司发现一个以美国、俄罗斯的银行为攻击目标的黑客组织

俄罗斯网络安全公司Group-IB发现一个名为“MoneyTaker”的黑客组织,该组织目前以美国、俄罗斯的银行为攻击目标

俄罗斯网络安全公司Group-IB发现一个新的黑客集团,该集团以美国、英国和俄罗斯的金融机构和律师事务所为主要的攻击目标。其中对不同国家的银行发动的攻击十分成功且一直保持匿名状态。

Group-IB的安全研究人员发现,黑客集团主要针对包括AWS CBR(俄罗斯银行系统)和SWIFT(美国)系统在内的卡支付活动。

他们通过不断改变攻击手法和工具的方式绕过安全系统并在完成攻击后消除他们的踪迹,从而保持匿名。

持续了一年半的无声的黑客行动——MonkeyTaker

他们隐藏了近一年半的时间。该组织的第一次行动是2016年针对美国银行First Data的“STAR”网络的攻击活动。

根据Group-IB公司的调查,该集团于2016年发动了10 起攻击,其中6起针对美国银行,1起发生在英国银行,2起发生在俄罗斯银行,剩下的一起攻击目标为美国服务提供商。2017年则有8家美国银行、1家律师事务所和1家俄罗斯银行成为该集团的攻击目标。

“Group-IB”威胁情报研究人员识别出所使用的事件工具和独特的交易账户之间的关系,其中最重要的发现是根据2016年俄罗斯安全会议上提交的代码编写的权限升级工具。

俄罗斯网络安全公司发现一个以美国、俄罗斯的银行为攻击目标的黑客组织

调查结果

他们使用银行内部文件(如管理员指南、内部规章)来了解银行架构,为攻击活动做好准备。Group-IB向国际刑警组织和欧洲刑警组织提供了细节以便做进一步的调查。

为了发动攻击,他们使用了自己的自写工具以及借用工具、Screenshotter以及keylogger来捕捉桌面截图和击键记录。MoneyTaker 5.0 可代替恶意程序自动替换支付数据。

为了确保攻击的持久性,他们使用了只存在于RAM内存的无文件恶意软件,并可在系统重新启动后自动销毁。

Group-IB调查过程中,通过发生在俄罗斯的一次攻击事件,调查人员设法攻击行为起源:黑客获得银行系统管理员的家庭电脑的访问权限,进而侵入银行的内部网络。

此外,为了阻止远程通信,他们还使用了黑客们使用了来自美国银行、美联储、微软和雅虎等著名品牌的安全证书。

他们从IT框架已被入侵的银行合法地开户或购买卡片。然后他们通过已经在另一个国家颁发的卡片从自助柜员机提取现金。

侵入银行卡处理系统后,他们取消或增加银行卡的取款限额。该网络袭击行为的平均损失可达50万美元。

原创文章,作者:M0tto1n,如若转载,请注明出处:http://www.mottoin.com/news/108178.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code