新型銀行木馬“Odinaff”與Carbanak犯罪團伙有關
責編:mhshi |2016-10-12 16:55:29賽門鐵克公司發現證據表明,一款主要針對銀行業的新型木馬與Carbanak犯罪團伙有關。Carbanak犯罪團伙2013年至2014年間,從30個國家100家銀行盜竊逾10億美元。
這款新型木馬名為“Odinaff”,首次于2016年1月被識別。這款木馬大量銀行業的企業網絡中被發現,此外還針對證券、交易和payroll行業(介于人力資源和會計之間)。
雖然賽門鐵克公司稱,該木馬出現在多個行業的企業計算機上,但幾乎所有計算機均運行財務軟件應用程序,從而表明該團伙的攻擊動向偏向于金融財務。
Odiaff通過惡意文檔傳播
賽門鐵克公司稱,攻擊者使用魚叉式網絡釣魚電子郵件,通過精心設計的電子郵件感染目標群,其電子郵件包含惡意Word文檔。
這些帶有病毒的文件會安裝Odinaff惡意軟件。研究人員指出,這是一個相對簡單的工具。
研究人員還指出,該木馬的主要目的是在被感染的計算機上立足,獲得引導持久性,然后下載其它惡意軟件,繼而實施更復雜的攻擊。
賽門鐵克公司稱,Odinaff下載的一些工具包括Mimikatz密碼轉儲應用程序、PsExec進程執行工具包、Netscan網絡掃描器、Ammyy Admin遠程桌面工具,以及作為另一用戶運行進程的工具Runas。
Odinaff基礎設施與先前的Carbanak攻擊有關
賽門鐵克公司表示,在某些情形下,Odinaff下載了Batel后門木馬,這款木馬曾主要由Carbanak犯罪團伙用來部署攻擊。
該公司還表示,除了Batel,Odinaff還使用了與Carbanak 攻擊有關的C&C服務器IP地址。另外,有一個IP地址與近期Oracle MICROS數據泄露事件有關。安全研究人員Brian Krebs稱這起泄露事件的幕后黑手便是Carbanak犯罪團伙。
Odinaff曾攻擊SWIFT系統
除了銀行和金融企業部署的常規財務軟件,Odinaff的目標似乎是SWIFT銀行間交易系統—銀行必須采取高級安全防護措施防護的IT系統。
研究人員表示,“賽門鐵克發現的證據表明,Odinaff團伙已對SWIFT用戶發起攻擊,使用惡意軟件隱藏欺詐交易有關的客戶SWIFT消息記錄。這類工具專門設計用來監控與客戶某些交易有關的關鍵詞本地消息日志,攻擊者之后將這些日志從客戶的本地SWIFT軟件環境中移走。”
雖然Odinaff包含用C語言編寫的自定義模塊,用來隱藏非法SWIFT銀行交易,但賽門鐵克公司認為Odinaff不是近期一系列SWIFT攻擊的罪魁禍首。
這些攻擊的幕后黑手是Lazarus Group,他們使用名為“Banswift”的系列惡意軟件發動攻擊,Banswift似乎并未與Odinaff共享代碼,盡管這兩種惡意軟件的目標都是SWIFT網絡。
就這次攻擊而言,用戶不必提心吊膽,因為Odinaff只針對銀行及銀行員工,而非客戶。
本文來源:E安全