最近對波蘭銀行的惡意軟件攻擊與更廣泛的黑客活動(dòng)有關(guān).遠(yuǎn)程控制軟件,灰鴿子.

admin

最近對波蘭銀行的惡意軟件攻擊與更廣泛的黑客活動(dòng)有關(guān).遠(yuǎn)程控制軟件,灰鴿子.
黑客攻擊了30多個(gè)國家的100多個(gè)組織

最近使波蘭銀行部門警惕的惡意軟件攻擊是針對來自30多個(gè)國家的金融機(jī)構(gòu)的更大規(guī)模運(yùn)動(dòng)的一部分。

賽門鐵克和BAE系統(tǒng)的研究人員將最近發(fā)現(xiàn)的波蘭攻擊中使用的惡意軟件與自10月以來在其他國家發(fā)生的類似攻擊聯(lián)系起來。還有一些與以前在安全行業(yè)中稱為拉撒路的攻擊者使用的工具的相似之處。

黑客攻擊了他們最終目標(biāo)感興趣的網(wǎng)站，這種技術(shù)被稱為水坑攻擊。然后他們向他們注入了將訪客重定向到自定義漏洞利用工具包的代碼。

該漏洞利用工具包包含對Silverlight和Flash Player中已知漏洞的攻擊，并且僅對具有特定范圍的Internet協(xié)議地址的訪問者激活攻擊。

“這些IP地址屬于位于31個(gè)不同國家的104個(gè)不同的組織，”賽門鐵克的研究人員在星期日的一篇博客文章中說。 “這些組織絕大多數(shù)是銀行，少數(shù)電信和互聯(lián)網(wǎng)公司也在名單上, 遠(yuǎn)程控制軟件, 遠(yuǎn)程控制。

在目標(biāo)波蘭銀行的情況下，懷疑該惡意代碼在波蘭金融監(jiān)管局的網(wǎng)站上托管，波蘭金融監(jiān)管局是銀行部門的政府監(jiān)督機(jī)構(gòu)。 BAE系統(tǒng)研究人員發(fā)現(xiàn)，11月份在墨西哥國家銀行和股票委員會(huì)的網(wǎng)站上發(fā)現(xiàn)了類似的指向自定義漏洞利用工具的代碼。這是墨西哥人相當(dāng)于波蘭金融監(jiān)管局。

根據(jù)BAE系統(tǒng)公司，在南美洲國家最大的國有銀行 - 烏拉圭銀行（Banco de laRepúblicaOriental del Uruguay）的網(wǎng)站上也發(fā)現(xiàn)了相同的代碼。

目標(biāo)IP地址列表中包括來自波蘭的19個(gè)組織，來自美國的15個(gè)組織，來自墨西哥的9個(gè)組織，來自英國的7個(gè)組織，來自智利的6個(gè)組織。

漏洞的有效負(fù)載是以前未知的惡意軟件下載程序，Symantec現(xiàn)在稱為Downloader.Ratankba。其目的是下載另一個(gè)惡意程序，可以從受損系統(tǒng)收集信息。這第二個(gè)工具的代碼類似于過去由拉撒路組使用的惡意軟件。

賽門鐵克研究人員說，Lazarus從2009年開始運(yùn)營，并且主要關(guān)注美國和韓國的目標(biāo)。該集團(tuán)還涉嫌參與去年孟加拉國中央銀行盜竊8100萬美元。在這次攻擊中，黑客利用惡意軟件操縱銀行使用的計(jì)算機(jī)通過SWIFT網(wǎng)絡(luò)操作匯款。

BAE系統(tǒng)研究人員在星期日的一篇博客中說，“將拉扎路斯集團(tuán)行動(dòng)者連接到澆水洞活動(dòng)的技術(shù)/法醫(yī)證據(jù)還不清楚。 “然而，銀行主管和國家銀行網(wǎng)站的選擇將是適當(dāng)?shù)模�因�(yàn)樗麄冎�前的目�?biāo)是中央銀行的heists，即使它沒有什么運(yùn)營利益滲透更廣泛的銀行部門。