新闻链接：http://www.seehand.com/news/1361.html
新闻时间：2016/02/18 12:48
新闻正文：
秘密、持续而高级的恶意软件仅配合网络间谍的时代已经过去。犯罪活动现在正在使用类似的威胁和技术从金融机构窃取数以百万计的资金。

去年，安全厂商卡巴斯基实验室的研究人员被召集参与调查俄罗斯的29家银行及其他机构的异常盗窃事件，最后发现了3次新的复杂的攻击活动。他们的发现在2月8日举行的公司年度安全分析师峰会上发布。

其中，一群攻击者使用名为Metel或Corkow的模块化的恶意程序去感染银行的计算机系统，然后逆向ATM交易。仅在一个夜里，该团伙使用该难以检测的交易回滚欺诈从一家俄国银行中窃取了数百万的卢布。

Metel攻击者开始实施攻击时，向银行和其他金融机构的职员发送带有恶意链接的钓鱼邮件。他们一旦攻入了这些机构中的电脑，他们会在网络内部横向移动以识别出控制交易的系统并获得访问权限。

上述过程一旦完成，他们针对该机构签发的特定借记卡的ATM交易的滚回自动化。在夜里，攻击者开车前往各个城市并从其他银行的ATM机中取回钞票。然而，在发卡行的银行系统中，交易会自动反向滚回因此账户余额不会发生变化。

卡巴斯基的研究人员称，他们在俄罗斯的30家金融机构的电脑中发现了Metel恶意软件。然而，他们相信，该团伙的活动范围要更加普遍得多，或影响全世界各国的金融机构。

第二个犯罪团伙也以银行和金融机构为目标，他们使用名为GCMAN的恶意软件程序。该程序通过带有可执行RAR文档和伪装成Microsoft Word文档的邮件传播。

与其他某些网络间谍团伙类似，GCMAN攻击者使用合法的系统管理和渗透测试工具，例如Putty、VNC和Meterpreter，以在网络内部进行横向移动。该团伙识别出处理金融交易的服务器并创建cron任务（计划任务），从而使多个电子货币服务的交易自动化（通常在周末）。在一个例子中，卡巴斯基的研究人员发现的一个脚本中，初始化交易为每分钟200美元。

GCMAN团伙之所以引人注意是因为其耐心。在一次事件中，从攻入的一开始计算，它等候了的一年半才开始抽取资金。在这个期间，在与Tor退出节点和遭劫持的家庭路由器协助下，它的成员探测了70个内部主机，攻陷了56个账户并且使用了139个不同的IP地址来实施上述行为。

与Metel一样，卡巴斯基研究人员仅在俄罗斯发现了GCMAN受害人，尤其是3家金融机构。然而，该团伙或在其他国家也有活动。

第三个团伙是新的，但之前在2015年2月份暴露后沉默了近5个月。那个时候，该网络犯罪团伙使用一名为Carbanak的定制恶意程序从30多个国家的数百个金融中窃取数百万资金。

该团伙带着新版本的恶意软件归来了——Carbanak 2.0——并且也已开始以非金融机构的预算和会计部门为目标。

“在一次重要的事件中，Carbanak 2.0团伙访问了存有股东信息的金融机构，修改了一家大公司的所有权详情。”卡巴斯基的研究人员在一篇博文中写道，“上述信息被修改后，一钱骡成为该公司的股东，并显示了他们的ID。目前尚不清楚他们想在将来如何利用该信息。”

卡巴斯基实验室已发布了三个团伙使用的工具的指示信息，因此，全球的各组织机构可扫描一下自己的网络，检查是否有潜在攻击的风险。

[培训]《安卓高级研修班(网课)》月薪三万计划，掌握调试、分析还原ollvm、vmp的方法，定制art虚拟机自动化脱壳的方法