近日,安全公司Proofpoint在收集了黑客组织Carbanak最新活动信息称,目前该组织的攻击目标正在转向中东金融行业高管。
Carbanak组织正在转移攻击目标
根据最新信息显示,该组织主要针对中东、美国等地区的银行开展网络攻击。一年前,卡巴斯基实验室曾发出警告:小心网络罪犯采用具有政府背景的APT工具和策略抢劫银行。当时除了该组织之外,还发现两个分别名为Metel和GCMAN的攻击组织利用同样的攻击方式打劫银行。这些攻击组织使用隐蔽的APT侦察手段和定制的恶意软件以及合法软件进行攻击,并利用最新的创新手段窃取资金。在2015年9月国际战略研究中心(CSIS)的安全小组发现了臭名昭著的Carbanak木马的新变种传播在网络上,其目标直指欧美的金融组织。
CSIS在一篇博文中描述道:
“最近,CSIS在进行的一项涉及到微软Windows客户端的取证分析中发现,其企图进行网上银行欺诈交易。调查取证中,我们设法分离出来一个拥有签名的二进制文件,后来我们发现这是一个Carbanak的新型变种。我们推测这个变种的目的是从欺诈交易中获取资金。“
卡巴斯基出具的一份报告中表明:
“涉及到Carbanak的转账交易数量很频繁。Carbanak这个跨国团伙很有可能已经注册了一家公司并拥有一个银行账户,这样他们可以轻易将偷来的钱转移到公司账户并完全控制转账过程。”
在上个月,卡巴斯基安全实验室声称“Carbanak cybergang”归来,并与其它一些黑客组织采用类似的APT攻击手法。新型Carbanak木马被指依赖于预先设置的IP地址,并且为了躲避查杀,它的数字证书签名是俄罗斯一家批发公司。目前卡巴斯基已经证实Carbanak gang( Carbanak 2.0),目前在对不同类型的公司进行网络攻击,包括金融机构、电信公司等。
该组织该对俄罗斯银行使用一种恶意软件Metel(Corkow),利用该恶意软件发送鱼叉式网络钓鱼电子邮件。
本周Proofpoint研究人员发现了一个新的趋势,该组织主要针对中东多个目标发起网络攻击,例如黎巴嫩、也门等。而在这些活动中,主要针对的是高层管理人员,例如银行和软件公司的业务经理等。攻击者发送的叉式网络钓鱼电子邮件中包含一个恶意的URL链接,同时利用一个旧版本的Office软件漏洞(CVE-2015-2545),并为下载 Carbanak提供一个有效路径(Spy.Sekur)。
攻击范围也在扩大
在一些情况下,攻击者发送的邮件中含有jRAT远控木马,Proofpoint发布报告称:
“我们最近发现了Carbanak组织的一些企图,攻击在中东、美国以及欧洲金融或涉及财务公司的高层管理人员,钓鱼邮件还有链接、宏文件、利用漏洞文档,利用Spy.Sekur(Carbanak恶意软件),远程木马病毒(jRAT、Netwire、 Cybergate ),这样做可以让第三方获取访问权限。”
报告中这样描述:
“与之前3月1日活动不同的是,文档中包含了链接,同时在邮件中添加了附件,这两个文档“emitter request_2016-03-05-122839.doc”以及“Reverse debit posted in Error 040316.doc”,利用自动运行宏从hxxp://154.16.138[.]74/sexit.exe,最终下载 Spy.Sekur。”
目前,可以确定的是该组织已经开始扩大攻击范围了。