俄羅斯網絡攻擊調查機構Croup-IB針對使用俄語且行蹤神秘的MoneyTaker黑客組織整理出一份詳盡的報告,指出該組織一直將矛頭指向美國及俄羅斯的各金融機構(包括銀行、信用合作社以及貸款機構等),并積極竊取一切可用于后續攻擊的資金與文件。
Group-IB方面調查了20多起由MoneyTaker組織發起的攻擊活動(報告中將此稱為‘黑客入侵’)。
MoneyTaker黑客似乎對小型社區銀行青眼有加,這很可能是因為此類機構往往網絡防御能力有限,因此更易受到入侵。
根據目前記錄在案的信息,2016年5月,該組織攻擊了美國某銀行,并順利入侵First Data的STAR卡處理系統,成功獲取資金。此后,攻擊者繼續掀起攻勢瞄準美國之外的俄羅斯與英國攻擊某軟件與服務供應商。
在攻擊俄羅斯本土機構時,攻擊者的主要目標集中在俄羅斯中央銀行的AWS CBR身上(即俄羅斯中央銀行自動客戶工作站)。
AWS CBR是一套類似于SWIFT的、專供俄羅斯各銀行間實現資金周圍的轉賬系統。
研究人員們表示:給該組織“每一次針對美國機構的成功攻擊平均造成50萬美元損失; 而每一次針對俄羅斯機構的成功攻擊則平均造成120萬美元損失,不過俄羅斯方面設法追回了一部分資金。”
該組織通過入侵銀行卡處理系統從多家銀行處竊取資金,并利用其清空或提升錢騾卡片的取現限額。錢騾一方會根據指示盡可能從ATM機處提取現金。其它網絡黑客團伙也曾采用類似的作法。
研究人員們發現,惡意攻擊者盜取了OceanSystems公司的FedLink電匯處理系統相關文件,FedLink電匯處理系統由南美及美國本土200家銀行實際使用。研究人員們擔心,接下來這些銀行都有可能成為MoneyTaker攻擊集團的潛在入侵目標。以此類推,研究人員認為這群黑客正在尋求入侵SWIFT銀行間通信系統的方法。不過研究人員們還沒有發現任何能夠證明該組織近期曾實施SWIFT系統相關攻擊活動的證據。
MoneyTaker攻擊技術分析該組織使用的多種工具部分為自主構建,也有一部分取自各類來源。Metasploit與PowerShell Empire滲透工具、銀行木馬(Citadel、Kronos)以及NirCmd(一款小型命令行工具,允許攻擊者以遠程方式執行多種命令)都只是借用別人的成果。
該黑客組織會自動替換AWS CBR中的付款數據,記錄擊鍵數據以及截屏信息,并選擇創建自己的攻擊程序。
調查人員表示,“該組織的成員們擁有一定技術水平,能夠及時調整所使用的工具,甚至能夠在攻擊過程中‘即時’修改源代碼。”
攻擊技術該組織采取協同方式以回避攻擊目標與安全研究人員們的雙重檢測:
例如使用無文件惡意軟件,且同時利用PowerShell與VBS腳本確保這些惡意軟件始終駐留;
利用廣為人知的品牌名稱(例如微軟、雅虎、美國銀行等)生成SSL證書,用以保護其C&C通信內容不被各安全團隊所檢測。
他們對負責傳遞惡意載荷的服務器進行精心配置,確保其僅將惡意載荷發送至屬于目標企業的特定IP地址列表。如果受攻擊計算機重啟,這些持久服務器則將再度起效以確保惡意文件始終駐留在目標系統之內。并在每一輪攻擊活動之后,他們都會部署新的網絡基礎設施。該組織利用一款程序刪除攻擊過程中所用到的各程序及全部組件,從而消除所有追蹤途徑(不過該程序中存在一項錯誤,調查人員最終也正是借此獲得了入侵證據)。
但研究人員們仍不清楚該黑客組織如何初步完成對目標企業網絡的入侵,研究人員推測該組織首先會對目標銀行內一位系統管理員的家用計算機進行入侵。
京公網安備 11010502049343號