返回新闻列表

Carbanak之后:银行面临最新攻击

        一年前,卡巴斯基实验室曾警告小心网络罪犯开始采用具有政府背景的APT工具和策略用于抢劫银行。现在,卡巴斯基实验室确认Carbanak以Carbanak 2.0卷土重来,而且还发现两个分别名为Metel和GCMAN的攻击组织利用同样的攻击方式打劫银行。这些攻击组织使用隐蔽的APT侦察手段和定制的恶意软件以及合法软件进行攻击,并利用最新的创新手段窃取资金。

        Metel网络犯罪组织会使用很多种攻击手段,但是最有趣的是其所采取的聪明策略:通过控制银行内一台可以访问现金交易(例如银行的呼叫中心/支持计算机)的计算机,网络罪犯可以自动进行ATM交易回滚。

        回滚功能可以确保借记卡上的余额保持不变,不管进行了多少次ATM交易。按照目前发现的攻击案例,网络罪犯组织会在晚上在俄罗斯的城市中徘徊,盗取某些银行的ATM机中的现金,并且会使用同一张被攻击银行的借记卡盗取资金。盗窃金额为一晚上所能盗取的最大金额。

       “目前,网络攻击的实施过程正在变得越来越短。攻击者熟悉某种攻击操作后,会在几天内或一周内实施完攻击,然后逃跑,”卡巴斯基实验室全球研究和分析团队首席安全研究员Sergey Golovanov评论说。

       调查取证过程中,卡巴斯基实验室专家发现Metel攻击者通过特制的包含恶意附件的鱼叉式钓鱼邮件进行初始感染,利用Niteris漏洞利用程序包对受攻击者的浏览器漏洞进行攻击。一旦入侵到网络,网络罪犯会利用合法的渗透工具在网络内进行横向移动,劫持本地域名控制器,最终找到和控制银行员工用于处理支付的计算机。

       Metal组织仍在活动,针对该组织的调查仍在继续。目前,还没有发现针对俄罗斯之外的地区存在攻击。但是,我们有理由怀疑,这种恶意软件的传播范围很广,我们建议全球的银行都需要仔细检查是否被感染。

       上述三个攻击组织在攻击中都会同时使用恶意软件和合法软件:为什么要编写定制恶意软件工具呢,因为合法的工具同样有效,而且还很少会引发警报?

       但是在隐蔽性方面,GCMAN攻击者更胜一筹:有时候该攻击组织能够不使用任何恶意软件,仅通过合法工具和渗透工具就可以成功攻击一个组织。在卡巴斯基实验室调查的一个案例中,我们发现GCMAN攻击组织使用Putty、VNC和Meterpreter工具在被攻击网络中横向移动,直到发现了一台被用于进行电子货币转账的计算机。而且整个过程中,没有触发其它银行系统。

       在卡巴斯基实验室分析的一起攻击中,网络罪犯在被攻击网络中埋伏了一年半才实施盗窃行为。转出去的每笔金额约为200美元,这是俄罗斯匿名支付的最大限额。每一分钟,CRON日程程序都会启动一段恶意脚本,将一笔资金转移到钱骡的电子货币账户中。交易订单直接发送到银行的上游支付网关,不会在银行的内部系统流线任何痕迹。

       最后,Carbanak 2.0标志着Carbanak这种高级可持续性威胁(APT)重新回归。Carbanak 2.0使用了同之前版本同样的工具和技术,但是针对不同的受害者,并且采用了创新的提款方式。

       2015年,Carbanak 2.0的攻击目标不仅仅是银行,还包括所有网络罪犯感兴趣的组织的预算部门和会计部门。卡巴斯基实验室分析的一起攻击中,Carbanak 2.0攻击者入侵到一家金融机构,并且修改了一家大型公司的所有权凭证。将一名钱骡修改为公司的股东,并且显示ID信息。

       “2015年发现的针对金融组织的攻击显示,网络罪犯正在积极采用APT形式的攻击,这一趋势非常令人担心。Carbanak攻击组织只是这样做的很多组织中的一个:网络罪犯现在已经知道如何在他们的攻击行动中使用最新的技术,我们发现有多攻击组织开始从攻击用户转向直接攻击银行。他们的逻辑很简单:因为银行的钱很多,”Sergey Golovanov警告说。“我们的目标是发现攻击者将如何攻击,针对哪里进行攻击。我们希望在了解GCMAN攻击后,银行会检查自己的服务器是否得到恰当的保护。在Carbanak攻击案例中,我们建议银行要加强针对包含客户账户信息的数据库的保护,而不仅仅是保护用户在银行的资金余额。”

       卡巴斯基实验室产品能够成功检测和拦截Carbanak 2.0、Metel和GCMAN攻击者所使用的恶意软件。此外,公司还在发布关于感染迹象(IOC)和其它数据,帮助各个组织确认是否自己的企业网络有被攻击的痕迹。更多详情,请访问:

       我们建议所有的组织都仔细扫描自己的网络是否存在Carbanak、Metel和GCMAN感染。如果发现,请尽快清除感染,并将入侵事件报告到执法机关。