2017050321

卡巴斯基:网络犯罪团伙 Silence 采用黑客技术展开钓鱼攻击,俄罗斯等国 10 大银行成首要攻击目标

  • 浏览次数 5506
  • 喜欢 0
  • 评分 12345

HackerNews.cc 11 月 1 日消息,卡巴斯基实验室研究人员近期发现黑客组织 Silence 正采用网络犯罪团伙 Carbanak 的黑客技术瞄准俄罗斯、亚美尼亚与马来西亚等国至少 10 家银行展开攻击活动。据称,该组织在使用后门程序获取目标银行持久性访问权限后开始监控员工日常操作、窃取用户敏感信息。目前,该组织已从全球各银行窃取逾 10 亿美元资金。

调查显示,此类攻击活动最早可追溯至今年 9 月,其黑客在入侵银行系统访问内部网络后获取了银行职员的重要信息,以便通过肆意分发 .chm 恶意附件开展网络钓鱼攻击活动。

silence-group

诱导邮件部分内容

卡巴斯基表示,鱼叉式网络钓鱼攻击活动仍然是感染目标系统最为流行的一种方式。并且,由于此次攻击活动主要是通过受损的基础设施分发 .chm 恶意附件。因此,该黑客手段似乎是一种非常有效的传播方式,至少目前在金融机构中是这样。另外,Silence 还利用合法的管理工具运行恶意程序,从而规避目标系统雷达监测。

据悉,研究人员发现该组织利用了一种微软专有的在线帮助格式 Microsoft Compiled HTML Help (CHM)分发恶意邮件,因为 CHM 具备交互性质,可以任意运行 JavaScript 代码。对此,受害用户一旦打开 CHM 附件后,将被嵌入包含 JavaScript 代码的 .htm 文件(“start.htm”),其目标是将受害者重定向至外部恶意链接,并在自动运行有效负载后执行下一阶段操作。

171031-silence-bank-attack-2

start.htm 嵌入文件的一部分

随后,C&C 服务器将解压并执行恶意软件 dropper 程序,其部分负载模块将会在删除记录后帮助攻击者继续监视目标银行系统。据称,负载模块中包括一款屏幕监视器,它采用了 Windows GDI 和 API 工具通过将所有收集的位图组合在一起,从而创建了受害者活动的伪视频流。

171031-silence-bank-attack-5

C&C 服务器连接程序

虽然研究人员并未公布黑客组织 Silence 窃取信息的证据,但他们证实此类攻击仍在继续且普遍针对金融机构展开攻击。这是一个非常令人担忧的趋势,因为这是网络犯罪分子在攻击中取得成功的表现。目前,卡巴斯基实验室仍在继续监控此类攻击活动,并强烈建议各金融企业加强自身系统防御体系,以抵御黑客攻击活动。

附:卡巴斯基实验室原文报告Silence – a new Trojan attacking financial organizations

原作者: Pierluigi Paganini,译者:青楚
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc ” 并附上原文链接。

hackernews_foot