黑客兵分两路,俄罗斯中央银行“背锅”

黑客兵分两路,俄罗斯中央银行“背锅”

Group-IB是一家专门从事网络安全相关的国际公司,近期他们发现了几起针对俄罗斯金融机构的大规模恶意活动。他们发送的恶意电子邮件伪装成来自俄罗斯中央银行和金融部门计算机应急响应小组FinCERT。Group-IB的专家们认为11月15日发生的攻击可能是黑客组织Silence所为,而另一起10月23日发生的攻击则是来自黑客组织MoneyTaker。Group-IB警告称这两个网络犯罪组织对俄罗斯,甚至国际金融机构来说都是不可忽视的威胁。

Silence攻击卷土重来

早在2017年9月,卡巴斯基实验室的研究人员就发现了一系列针对性攻击,其目标为多个国家地区的数十家金融机构,包括俄罗斯、亚美尼亚和马来西亚。这些攻击是由一个被称为Silence的新黑客组织实施的——通过鱼叉式钓鱼邮件入侵受害者的基础设施。

钓鱼邮件中的恶意附件非常复杂。一旦受害者打开附件,只需点击一下,就会启动一系列下载,最终运行恶意软件加载器。加载器会与命令与控制服务器进行通讯,将受感染计算机的ID发送给攻击者,同时下载和执行恶意有效负载以进行多种黑客任务,例如录制屏幕、上传数据、窃取登录凭证和进行远程控制等。

除此之外,网络罪犯还会利用已经被感染的金融机构的基础设施进行新的攻击,通过真实员工的邮件地址向新的受害者发送电子邮件以及开设银行账户的请求。使用这种伎俩,网络罪犯确保收件人对不会对感染介质产生怀疑。

黑客兵分两路,俄罗斯中央银行“背锅”

而在今年11月15日上午,Silence又卷土重来。Group-IB检测到了一起恶意电子邮件群发活动,该活动是通过一个虚假的电子邮件地址发送给俄罗斯各大银行的,其声称来自俄罗斯中央银行(CBR)——该国的银行金融业监管机构。当然,俄罗斯中央银行显然与网络钓鱼活动没有任何关系——黑客伪造了发件人的地址。SSL证书未用于DKIM验证,以“来自俄罗斯联邦中央银行的信息”为主题的电子邮件要求接收者查阅监管机构“关于CBR电子邮件格式标准化”的规定,并立即实施变更。恶意文件包含在附加的压缩文件中,通过解压缩这些文件,用户下载的却是Silence.Downloader——Silence黑客工具。

Group-IB专家观察到,电子邮件的风格式样几乎与俄罗斯中央银行的官方信函完全相同,可以推测黑客很可能获得了合法电子邮件的样本。根据Group-IB在2018年9月发布的报告,Silence组织成员大概率是曾经或在职的网络测试人员和逆向工程师。因此,他们非常熟悉金融部门的文件格式和银行系统内部结构。

MoneyTaker攻击源源不断

MoneyTaker在2016年开始运营,当年5月攻击了第一个目标——美国佛罗里达银行。从那时起,该集团已经攻击了至少记录在案的14家美国银行、一家美国服务提供商、一家英国公司、三家俄罗斯银行和一家俄罗斯律师事务所。

即使针对如此多的目标发动大规模攻击,但MoneyTaker黑客组织还是设法隐藏了自己的行踪,并通过多种公开可获取的渗透测试和黑客工具如Metasploit、NirCmd、psexec、Mimikatz、Powershell Empire以及在2016年俄罗斯的一次黑客大会上演示的PoC代码成功避开被怀疑的可能。除了使用开源工具外,MoneyTaker 黑客组织还大量使用Citadel和Kronos银行木马来传播PoS恶意软件ScanPOS。另外,MoneyTaker黑客组织还使用通过由著名品牌如微软、雅虎、联邦储备银行、美洲银行等生成的 SSL 证书来隐藏恶意流量。

黑客兵分两路,俄罗斯中央银行“背锅”

2016至2017年MoneyTaker攻击事件

10月23日发送的电子邮件也是来自伪装的金融部门计算机应急响应小组FinCERT,其中包含伪装成官方CBR文件的五个附件,其中有一份名为“与俄罗斯中央银行就信息监测、交流方面合作的模板协议.doc”的文件。五份文件中有三份是空的诱饵文件,但另外两个包含Meterpreter Stager下载器。为了实施这一攻击,黑客使用了自签名SSL证书。此外,所涉及的服务器基础设施已用于MoneyTaker先前的攻击中。通过所有这些因素,专家们可以得出结论:MoneyTaker是此次10月攻击活动的幕后黑手。Group-IB的专家认为,黑客设法从俄罗斯银行员工的早期被盗邮箱中获取官方CBR文件样本。MoneyTaker利用这些获取的信息设计了一场骗局,以对银行进行针对性攻击。

这种看似由俄罗斯中央银行进行的鱼叉式网络钓鱼活动是网络犯罪分子相对普遍的攻击方式:它已被Buhtrap、Anunak、Cobalt和Lurk等黑客组织使用。例如,2016年3月,网络犯罪分子从info@fincert.net发送了网络钓鱼电子邮件。

“自7月份以来,为了共享信息,FinCERT一直在使用自动事件处理系统,该系统可以安全快速地共享‘Feed-Antifraud’数据库的事件和未授权操作的信息,”俄罗斯中央银行新闻服务评论说,“共享信息的备份渠道是电子邮件。通过电子邮件发送的所有邮件都包含FinCERT的电子签名。”

“MoneyTaker和Silence是对国际金融组织构成真正威胁的危险黑客组织,”Group-IB恶意软件部门动态分析主管和威胁情报专家Rustam Mirkasymov称,“MoneyTaker在针对银行时使用所有可能的攻击媒介。例如,他们可以发送鱼叉式网络钓鱼电子邮件以执行攻击,或测试银行的网络基础架构是否存在漏洞。在获得对网络内部节点的访问权后,黑客可以轻松地通过ATM、卡处理或银行间转账系统进行攻击和取款。而另一个黑客组织Silence,他们只使用经过试验和测试的攻击方法——网络钓鱼电子邮件。与MoneyTaker对比,他们更密切关注网络钓鱼电子邮件的内容和设计。”

Group-IB将其所有收集到的关于这两个黑客组织的信息都发送给了欧洲刑警组织和国际刑警组织,因为他们怀疑这不会是人们最后一次遭遇这两大黑客组织的攻击,希望有关部门机构能够及时采取预防措施,防患于未然。

原创文章,作者:Gump,如若转载,请注明出处:http://www.mottoin.com/news/132619.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code