最近對波蘭銀行的惡意軟件攻擊與更廣泛的黑客活動有關(guān).遠程控制軟件,灰鴿子.

admin

最近對波蘭銀行的惡意軟件攻擊與更廣泛的黑客活動有關(guān).遠程控制軟件,灰鴿子.
黑客攻擊了30多個國家的100多個組織

最近使波蘭銀行部門警惕的惡意軟件攻擊是針對來自30多個國家的金融機構(gòu)的更大規(guī)模運動的一部分。

賽門鐵克和BAE系統(tǒng)的研究人員將最近發(fā)現(xiàn)的波蘭攻擊中使用的惡意軟件與自10月以來在其他國家發(fā)生的類似攻擊聯(lián)系起來。還有一些與以前在安全行業(yè)中稱為拉撒路的攻擊者使用的工具的相似之處。

黑客攻擊了他們最終目標感興趣的網(wǎng)站，這種技術(shù)被稱為水坑攻擊。然后他們向他們注入了將訪客重定向到自定義漏洞利用工具包的代碼。

該漏洞利用工具包包含對Silverlight和Flash Player中已知漏洞的攻擊，并且僅對具有特定范圍的Internet協(xié)議地址的訪問者激活攻擊。

“這些IP地址屬于位于31個不同國家的104個不同的組織，”賽門鐵克的研究人員在星期日的一篇博客文章中說。 “這些組織絕大多數(shù)是銀行，少數(shù)電信和互聯(lián)網(wǎng)公司也在名單上, 遠程控制軟件, 遠程控制。

在目標波蘭銀行的情況下，懷疑該惡意代碼在波蘭金融監(jiān)管局的網(wǎng)站上托管，波蘭金融監(jiān)管局是銀行部門的政府監(jiān)督機構(gòu)。 BAE系統(tǒng)研究人員發(fā)現(xiàn)，11月份在墨西哥國家銀行和股票委員會的網(wǎng)站上發(fā)現(xiàn)了類似的指向自定義漏洞利用工具的代碼。這是墨西哥人相當于波蘭金融監(jiān)管局。

根據(jù)BAE系統(tǒng)公司，在南美洲國家最大的國有銀行 - 烏拉圭銀行（Banco de laRepúblicaOriental del Uruguay）的網(wǎng)站上也發(fā)現(xiàn)了相同的代碼。

目標IP地址列表中包括來自波蘭的19個組織，來自美國的15個組織，來自墨西哥的9個組織，來自英國的7個組織，來自智利的6個組織。

漏洞的有效負載是以前未知的惡意軟件下載程序，Symantec現(xiàn)在稱為Downloader.Ratankba。其目的是下載另一個惡意程序，可以從受損系統(tǒng)收集信息。這第二個工具的代碼類似于過去由拉撒路組使用的惡意軟件。

賽門鐵克研究人員說，Lazarus從2009年開始運營，并且主要關(guān)注美國和韓國的目標。該集團還涉嫌參與去年孟加拉國中央銀行盜竊8100萬美元。在這次攻擊中，黑客利用惡意軟件操縱銀行使用的計算機通過SWIFT網(wǎng)絡(luò)操作匯款。

BAE系統(tǒng)研究人員在星期日的一篇博客中說，“將拉扎路斯集團行動者連接到澆水洞活動的技術(shù)/法醫(yī)證據(jù)還不清楚。 “然而，銀行主管和國家銀行網(wǎng)站的選擇將是適當?shù)�，因為他們之前的目標是中央銀行的heists，即使它沒有什么運營利益滲透更廣泛的銀行部門。