許多安全專家懷疑,俄羅斯警方5月底逮捕黑客組織Lurk與之后釣魚攻擊工具包Angler Exploit Kit不明所以的停止更新之間存在關聯。
Lurk黑客團伙被捕及隨后的“巧合”
5月底,俄羅斯政府宣布,抓獲涉嫌竊取4500萬美元的黑客團伙,涉案人數多達50人,該網絡犯罪組織名為Lurk,從2011年成型,開始攻擊目標為一些組織和用戶,大概在一年半之前,將目光轉向銀行,一共從銀行和其他金融機構以及企業共盜竊超過4500萬美元。
而就在逮捕發生一周后,一些安全公司宣布:Angler——世界上最先進的EK忽然停止更新,銷聲匿跡。
隨后一周,Necurs僵尸網絡也停止所有活動,但是最終于3周后重新復活,恢復運行。
Lurk、Angler和Necurs 僵尸網絡之間的關聯
Cisco的 Talos 小組表示:
所有的停止運作行為都不是偶然的!此3者間存在共同紐帶。
Lurk銀行木馬使用的125C&C服務器,85%的都是一個使用john[.]bruggink@yahoo[.]co[.]uk的電子郵件地址的人注冊的。
關于Lurk木馬
Lurk木馬是一種復雜的、通用的、多模塊的多功能惡意軟件,能夠獲取受害者計算機的訪問權限。Lurk木馬非常獨特,它的惡意代碼不會存儲在受害者的計算機中,而是在隨機訪問存儲器(RAM)中。
在去年2月發表的一項研究中,同樣的電子郵件地址在一場網絡犯罪活動中被用于注冊Angler payload delivery domains,傳播Bedep惡意軟件。
2月份的研究報告還發現,同樣的電子郵件地址還注冊了一小部分用于Necurs僵尸網絡的C&C服務器的域名。
Lurk黑客團隊與犯罪軟件
雖然Necurs僵尸網絡最終復活了,但是Angler并沒有。Necurs的重現可能與它是傳播Dridex銀行木馬和Locky勒索軟件最大的來源這一事實有關,Necurs的復活行為可能由不同的團隊共同操作完成的。
不同的網絡犯罪集團之間存在聯系和合作,就如同合法企業之間的合作伙伴關系一般。雖然Dridex操縱者花費了大約3周的時間來處理Lurk團隊被捕后引發的系列問題,但他們最終還是設法恢復了Necurs,這一傳播Dridex銀行木馬和Locky勒索軟件的僵尸網絡。
john[.]bruggink@yahoo[.]co[.]uk這一電子郵件地址并沒有清晰的展現各種不同的惡意軟件之間的關聯,但是它更像是一個根源。當俄羅斯當局將其公布之后,他們偶然發現了Angler 和 Lurk團伙之間的關聯,但并沒有直接發現與Necurs僵尸網絡的關聯,只是記錄下了一些相關的服務器。
接下來,留給俄羅斯當局的重任就是鏟除Dridex犯罪網,這一被認為是世上最專業、組織有序的網絡犯罪網。
關于Dridex
Dridex這個名字是在2014年才慢慢形成的,并且還被認為是Gameover Zeus (GoZ)、Feodo、Cridex、 Bugat等的繼承者,運用多種技術來竊取用戶的私人敏感信息和金融信息,并用于欺詐犯罪。
Dridex的散播方式主要是垃圾郵件,附件是一個偽造Microsoft word文檔。目標銀行主要位于美國、羅馬尼亞、法國、英國等。