多家俄罗斯银行正遭到Ratopak木马的攻击

安全动态 发布时间:2016-02-24 14:48:34 236 浏览

https://p3.ssl.qhimg.com/t01dc8f73b929fef8ac.jpg

近期,出于盗取资金的目的,黑客将攻击目标对准了6家俄罗斯银行。他们打算侵入这些银行的系统,之后植入Ratopak木马,盗取其用户和员工的资金。一些专家已经找到了关于此次黑客攻击的证据。

根据Symantec Security公司(赛门铁克,一家在信息安全领域全球领先的解决方案提供商)的调查显示,一个网络犯罪团伙针对多家俄罗斯银行的员工,发动了有预谋的攻击。他们发动此次攻击是出于一定的经济目的。

这次黑客攻击的威胁就在于,他们使用了一种叫做Ratopak的木马程序,它能控制受害人的PC系统并窃取其数据。自2015年10月以来,专家们就已经发现几次类似的Ratopak木马攻击。这种链式攻击方式是以黑客通过向俄罗斯金融机构的工作人员,发送假的央行工作邮件为开端。 为了达到欺骗银行工作人员的目的,他们伪造了一个名为cbr.com.ru的网域,该域名与俄罗斯央行所使用的域名(cbr.ru)十分相似,进而会误导员工进入他们的网站。

专家证实,黑客在该网站上使用了大量的伪造电子邮件和Ratopak木马,并将其作为一个小型的数据库。

https://p0.ssl.qhimg.com/t01c7f96f1f7548be8d.png

Ratopak木马还具有一些后门功能,包括:窃取日志记录和偷取剪贴板数据等。

Symantec公司发布了一篇博客,在其中介绍了该木马的相关情况:“黑客通过使用Ratopak木马,可以控制被攻击的计算机,从而窃取其中的信息。这种木马攻击的威胁就在于,它能为攻击者建立一个后门,允许攻击者执行各种操作,比如:设置日志记录键、盗取剪贴板数据、检索和控制屏幕上出现的内容等。攻击者也可用它来下载一些其他的恶意文件和工具。人们往往关注的只是攻击本身的影响,而忽略了黑客下一步要采取的行动,这其实会构成更大的威胁。”

Symantec公司找到了一些能偷取证书的恶意软件和相关的攻击样本,发现它们都是被用来针对俄罗斯和乌克兰的用户的。

文章中还提到:这些软件还会检查计算机所使用的语言。如果计算机上使用的不是俄语或乌克兰语,那么恶意软件将会停止攻击。如果Ratopak发现,它是运行在一台虚拟机或安全研究员的电脑中,那么它就会自动终止并删除。

研究人员表示,许多被Ratopak木马感染的计算机会自动运行一些会计软件和文档管理软件。这些软件的功能是,能让用户安全地与一些政府机构之间,进行文档传输。比如:向税务部门提交税务数据。一旦黑客获得了这些软件的使用权限,那么后果将是极为严重的。

来自Symantec公司的恶意软件研究专家指出,许多由SBI(一家俄罗斯软件公司)开发的软件正遭到Ratopak木马的攻击。而这其中的一个应用程序是一款会计工作软件。它被称为“buh”(buh在俄语的含义为会计)。在这之后,相关的安全人员在URL地址中加入了这个词,为的是避免使那些正在使用SBI公司软件的用户,遭到恶意软件的欺骗。

其他几个受到攻击的软件之间,也存在一定的联系。比如:它们都是由SBI公司开发,黑客都利用了buh这一漏洞。SBI是一家俄罗斯的软件开发公司,致力于研发会计、工资审核等经济方面的应用程序。在SBI公司使用的URL中,他们将这些会计软件名都称为“buh”(比如:buh.sbis.ru/buh/)。Symantec公司声称,攻击者正是由于了解了这一情况,知道这些员工会使用SBI公司的会计软件,所以在他们的URL中都用到了buh这一关键词。通过在URL中使用这一字符,黑客可将攻击行为掩饰成一种正常的网页浏览。根据这一研究结果,很多的研究人员已经将Ratopak木马攻击称为了Buh陷阱(Buhtrap)。

在2015年4月,来自ESET(一家世界知名的电脑安全软件公司)的专家发现了一项叫做“Buh陷阱”的恶意软件攻击行动(Operation Buhtrap)。Buhtrap陷阱,实际上是攻击者利用了俄语中会计师一词(buhgalter),在英语中拼写的不同,从而制造了这一陷阱。到目前为止,Buhtrap被证实,只在俄罗斯和乌克兰出现过,因而它还没发展成为一种全球性的网络攻击。在这次攻击中,大约88%的目标是位于俄罗斯,而10%是位于乌克兰。分析师们根据这一特点,就将其与Anunak/Carbanak攻击行动联系在了一起,因为Anunak/Carbanak攻击行动也是针对俄罗斯和乌克兰而发动的。

http://p8.qhimg.com/t01f698def2baf7e25b.jpg

黑客发动的这次Ratopak木马攻击,具有极强的针对性(只针对俄罗斯),而与以往的网络欺诈攻击不同。这似乎已经给金融犯罪加上了新的含义。他们所使用的交付方法是,给用户发送一份带有附加发票文档的电子邮件或欺骗合同。

经过研究,来自Symantec公司的专家证实了他们之前的,关于黑客发动攻击的动机的猜测。黑客的这次攻击,就是针对俄罗斯的银行和其他金融机构而实施的连环攻击。

Symantec公司发表的声明中还指出,虽然现在还没有确凿的证据能够锁定攻击的目标,但可以得到证实的是,黑客这次就是出于一定的经济动机而发动的攻击。他们的目标是在某些银行中工作的,负责税务管理的,同时还使用SBI公司会计软件的员工。

最近,其他的一些黑客组织也对俄罗斯银行发动了攻击,其中知名的组织有Carbanak和Anunak。据报道,这些组织从全球范围内的100家银行中,盗走了10亿美元。就在几周前,卡巴斯基公司发现一项被称为Carbanak2.0的攻击行动。

来自卡巴斯基安全实验室的专家表示,经过他们的研究发现,Carbanak病毒攻击又呈现出卷土重来的趋势了。而其他的一些组织正采取类似于APT(高级持续性威胁)的技术手段,来盗取资金,这些组织包括:Metel、GCMAN等。

免责声明:文章内容不代表本站立场,本站不对其内容的真实性、完整性、准确性给予任何担保、暗示和承诺,仅供读者参考,文章版权归原作者所有。如本文内容影响到您的合法权益(内容、图片等),请及时联系本站,我们会及时删除处理。查看原文

为您推荐

Python网络安全:最强工具,保护你的网络世界

Ollama AI 框架中的严重缺陷可能导致 DoS、模型盗窃和中毒

美国大选进入冲刺阶段!网络安全问题再成关注焦点!

300个网络安全专业术语,懂一半绝对高手

PTZOptics相机的零日漏洞正在被广泛利用

谷歌警告安卓系统中存在被主动利用的 CVE-2024-43093 漏洞