首页
社区
课程
招聘
[推荐]看雪.每日安全资讯(11.03)“Silence” 团伙偷师 “Carbanak” 开展银行盗窃活动
发表于: 2017-11-3 09:58 3003

[推荐]看雪.每日安全资讯(11.03)“Silence” 团伙偷师 “Carbanak” 开展银行盗窃活动

2017-11-3 09:58
3003

1、“Silence” 团伙偷师 “Carbanak” 开展银行盗窃活动

Steal_From_Banks

 

近日,一网络犯罪组织盗窃了位于俄罗斯、亚美尼亚和马来西亚境内的十家银行机构,其使用手法高度借鉴 Carbanak 组织,据报道后者曾在全球范围内从金融机构处偷走 10 亿美元。

 

Kaspersky 实验室的研究人员将这个新团伙命名为 “Silence”,他们在今天发表了一篇相关的报告,其中指出该组织和 Carbanak 组织所用到的技术非常相似,但也只是模仿而已。

 

“他们不是 Carbanak,虽然他们在某些方面使用了相同的技术,但仅限于此。” Kaspersky 研究员 Sergey Lozhkin 说道。

 

“此前并没有该组织的相关记录,迄今也不知道其具体的盗窃金额,不过我们确实正面临该组织的攻击。” 研究人员补充道。

 

同时,这个组织的攻击是有针对性的,他们借助钓鱼和一系列不同手段来入侵银行的内部网络并监控银行职员的交易活动,最终将钱盗走。

 

“最近我们发现这种势头还在不断增长,越来越多的网络盗窃事件都明显带有 APT 攻击色彩,” Lozhkin 表示。“其中最令人感到担忧的是,由于他们的手法都比较隐蔽,因此不论银行的安全架构如何特别,这些攻击都很可能会成功。”

 

当钓鱼邮件中的附件被打开后,会在受害者机器上释放一个后门程序,它能和攻击者的外部服务器进行通信以发送受害者的信息,通过执行其中的恶意模块能上传数据、窃取信用凭据并开启诸如屏幕截取等功能,这和 Carbanak 的手法非常相似。

 

并且和 Carbanak 组织一样,该组织会将这些截屏信息制作成银行职员平日里在计算机上的操作录像,以便在窃取前熟悉内部的交易流程。

 

Kaspersky 在报告中说到:“Carbanak 组织以及其它类似事件中都采用过这种技术。”

 

Silence 组织的钓鱼邮件通常发往那些已经受攻击过的金融机构。

 

Kaspersky 在报告中提到:“该组织会以钓鱼邮件作为最初的突破口,收件方通常是那些已经遭受过攻击的金融机构员工,邮件正文为要求开设新的银行帐户,这些内容看起来就像一个正常的例行请求,通过这些社工技巧可以避免收件者的怀疑。”

 

此外,Silence 组织还利用了微软的在线帮助文档,即 CHM 文件,来传播恶意程序。CHM 文件是交互式的,并且可以运行 JavaScript 代码,攻击者可借此在受害者机器上访问外部的 URL。

 

“攻击者会利用 CHM 文件来自动运行恶意的 payload,一旦受害者打开附件,就会执行嵌入的 .htm 文件(“start.htm”)。” Kaspersky 研究人员解释道,“该文件包含的 JavaScript 代码会从硬编码的 URL 地址下载恶意程序。而在恶意程序执行后,会另外释放 payload 用于监控员工的系统,其中包含了屏幕监控的功能,所用 API 函数为 CreateCompatibleBitmap 和 GdipCreateBitmapFromHBITMAP。”

 

原文链接:https://threatpost.com/silence-gang-borrows-from-carbanak-to-steal-from-banks/128718/

 

本文由看雪翻译小组 BDomne 编译


2、黑客利用默认SSH凭证 侵占以太坊挖矿机器

 

一个危险人物正在大肆扫描互联网,寻找仍在使用默认SSH凭证操作系统的以太坊挖矿机器。

 

攻击者利用这些凭证访问矿机,并把自己的以太坊钱包地址换成自己的,这样的话,这台机器之后挖到的所有收入都归攻击者所有了,而矿机真正的主人却白白给别人干活了。

扫描始于周一

周一,攻击开始。最开始是被一家罗马尼亚的安全公司Bitdefender通过设置的一个蜜罐发现的。

 

蜜罐日志显示攻击者试图用两个特殊的SSH用户名和密码组合登录:etho:live和root:live。

 

通过搜索网络,Bitdefender在ethOS追踪到这两个组合。ethOS是一个精简版的×64 linux发行版,特别用于GPU挖加密货币,如以太坊、Zcash、门罗币和其他山寨币。

 

专家发现,攻击者一直试图把默认的挖矿钱包地址换成自己的。攻击者在劫持系统上所执行的一系列指令点击这里,就可以得到。

攻击者只赚了$661

虽然ethOS团队声称超过38000个矿机都在运行自己的操作系统,但是不是所有的设备都有漏洞。如果你改变OS的默认证书,并安装防火墙,安全系数会更高。

 

研究员说,黑客的以太坊钱包里只有10个交易,共约601美元。

加密货币爱好者当心类似的攻击

这并非第一次发生这一类的事件。

 

9月,ESET 发现有人在不停的扫描网络,寻找没有打过补丁的IIS.6.0服务器,然后下载门罗币矿机。这个黑客最后一共赚了63000美元的门罗币。

 

11月,卡巴斯基解密了一个团队使用CryptoShuffler木马监控PC剪贴板,并把加密货币的ID替换为自己的。他们最后一共获得价值150,000美元的比特币,还有上万美元的山寨币。

 

8月末,安全专家发现超过3000台带有Telnet端口的比特币矿机,没有密码就暴露在网络上。其中大部分矿机都在中国。

 

4月,安全研究员在Bitmain的Antminer牌矿机中发现了隐藏的后门。这个漏洞被称为Antbleed。随后Bitmain更新了软件才解决了这个问题。

 

根据Rapid7的国家风险指数——一份关于在线设备端口暴露的报告显示,目前有超过2千万台机器的SSH端口在网上“裸奔”。

 

原文链接:点击这里
本文由看雪翻译小组 哆啦咪 编译


3、D-Link MEA站点被发现运行加密数字货币挖矿脚本 - 还是被黑客入侵?

上个月热门torrent网站“海盗湾”引发了一些骚乱,原因是该网站通过在其网站上添加了一个基于Javascript的加密货币挖矿机,却没有提供选择退出的选项,从而利用访客的CPU功耗来挖掘Monero币,以获得额外的收入来源。

 

现在D-Link也被抓到做同样的事情,尽管它的网站被黑客攻击的可能性比较大。

 

根据本周二安全公司Seekurity发布的博客文章,发现D-Link中东地区的官方网站(www.dlinkmea.com)被秘密地添加了一个基于JavaScript的加密货币挖矿机。

 

Facebook的用户艾哈迈德·萨米尔(Ahmed Samir)报告说,访问D-Link中东网站导致他的网页浏览器达到了“超高CPU功耗”,正是发生这一情况之后,让Seekurity团队了解到了这个问题。

 

如下面的屏幕截图所示,使用隐藏的iFrame为每个页面视图加载了一个单独的域名,其中包括了加密货币挖矿机脚本。
图片描述

 

在Seekety团队向D-Link报告了这个问题之后的五天,该公司将该网站关闭并重定向到D-Link 美国的网站(us.dlink.com),但没有对该安全公司做出回应。

 

由于公司将整个网站重定向到另一个域名,而不是删除网页中隐藏的一行iFrame代码,D-Link最近成为网络攻击的受害者的机率很高。

 

无论如何,如今加密货币挖矿已经成为一项竞争激烈的收入来源,而且在黑客之间也很流行。所以,黑客入侵热门的网站并嵌入他们的加密货币挖矿机,利用访问者的系统计算能力试图挖掘数字硬币,就不足为奇了。

 

就在昨天,据报道,网络上超过100,000个网站中的200多个网站被发现来自CoinHive和JSEcoi(两个流行的加密货币采矿服务机构)的可疑代码,迫使其访客在不知不觉中在其计算机上运行挖矿机代码。

 

如果您正在使用一个不错的防病毒解决方案,例如Malwarebytes和Kaspersky,那么您将是安全的,因为大多数安全解决方案已经开始阻止加密货币挖矿脚本的运行,以防止其客户进行行未经授权的挖矿活动和其产生的巨额CPU消耗。

 

原文链接:https://thehackernews.com/2017/11/dlink-cryptocurrency-miner.html

 

本文由看雪翻译小组rainbow编译


4、Bad Rabbit勒索软件的完整分析

最近,一个名为BadRabbit的新型勒索软件,在多个国家爆发传播,受影响的主要是东欧地区,比如乌克兰和俄罗斯。这个恶意软件并不是全新的,它似乎是在旧有勒索软件NotPetya的基础上演变而来的,主要的变化包括:

  • 重新启动后的行为;
  • 依赖SMB协议,并基于MS17-010进行横向移动的扩展能力;

BadRabbit与NotPetya还有许多差异,包括通过使用专门的加密库“DiskCryptor”、修复了NotPetya的一些编码错误以及更复杂的行为。这一切都似乎表明BadRabbit是一个成熟老道的勒索软件。当然依然还有一些疑点:

  • 勒索通知单中提到的暗网站点“caforssztxqzf2nm[.]onion”,在大规模爆发感染一天后,就无法被访问了。这意味着受害者无法支付赎金来解密他们的文件。但一个暗网站点这么快速的被当局拿下,显得很反常,有理由猜测,更有可能是被作者自己删除了;

  • 大多数受害的网站属于餐厅、酒店和“房屋租赁”服务;

  • 大多数受感染的系统位于乌克兰,比如奥德赛机场和基辅地铁。这些都曾经是NotPetya的攻击目标;

基于以上这些原因和我们的分析,我们认为BadRabbit与NotPetya是由同一作者撰写的,并且是它的进化版本。它的设计初衷应当是作为一个勒索软件,但事实上,由于不可能支付赎金,它变成了一个文件擦除器。

 

完整的报告包括对BadRabbit进行静态分析和行为分析的详细技术细节。它还包括用于检测该勒索软件的Yara规则。

 

完整报告的下载地址:
http://csecybsec.com/download/zlab/20171101_CSE_BadRabbit_Full_Report.pdf

 

原文链接: http://securityaffairs.co/wordpress/65048/malware/full-analysis-bad-rabbit.html
本文由看雪翻译小组ljcnaix编译


5、PSA:当心Chrome上的广告软件扩展程序

每个人从Chrome网上应用商店安装扩展应用程序时,都应该小心一点。尽管大多数扩展程序是没有恶意的,但恶意的扩展程序被上传到应用商店的情况越来越常见,被去除前还会存在相当长的一段时间。

 

比如今天就有人告诉我一个叫做图片下载器(这个链接很快就会被撤销)。我们的恶意软件清除助手之一,Aura,认为它看起来很可疑。仔细观察,发现这个扩展程序是广告软件,它会向你访问的网站注入广告。当你与网站交互时,就自动在新的标签页中打开其他网页,把广告注入到搜索引擎结果页的顶部。

 

浏览器启动时,扩展就会连接到两个站点去下载要正常运行所需的配置信息。扩展程序使用下载的信息来注入广告,如下图所示。

 

 

注入广告

 

友情提示:只下载你真正需要的扩展程序即可,而且在安装之前检查它需要的权限。因为恶意扩展通常会试图获取全部权限来篡改网络流量,而大多数扩展程序不需要全部权限。另外,还要确保安装最新的安全程序。

 

想要看看这个扩展程序的,可以访问HybridAnalysisVirusTotal

 

原文链接
本文由看雪翻译小组fyb编译。


[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 0
支持
分享
最新回复 (0)
游客
登录 | 注册 方可回帖
返回
//