聚焦源代码安全,网罗国内外最新资讯!
编译:360代码卫士团队
今天,位于俄罗斯的多家银行遭受大规模的旨在传播 Silence 黑客组织使用的一款工具。该黑客组织被指具有从事合法信息安全活动的背景而且具有访问金融行业文档的权限。
欺诈性文件谎称源自俄罗斯央行 (CBR),并包含一个恶意附件。信息主体诱骗收件人打开附件并查看“CBR 电子通信格式标准化”的最新详情。
邮件认证机制立大功
国际网络安全公司 Group-IB 调查攻击后发现,虚假通信的风格和格式非常类似于CBR 官方的通信。这说明攻击者具有访问 CBR 合法邮件的权限。如果 Silence 黑客组织和逆向工程和渗透测试的合法面之间存在任何关联,那么他们很可能熟悉金融机构使用的文档而且了解银行系统的运行机制。
Group-IB 公司发布报告称,攻击者欺骗了发件人的邮件地址,但信息并未通过 DKIM (DomainKeys Identified Mail) 的验证。DKIM 通过向信息添加签名以验证其真实性的方法阻止伪造的邮件地址。
俄罗斯遭受的鱼叉式钓鱼攻击在增多
Silence 并非唯一试图对俄罗斯银行实施钓鱼攻击的黑客组织。10月23日,另外一个臭名昭著的黑客组织 MoneyTaker 对同一目标实施了类似攻击。他们的信息欺骗了金融行业计算机紧急响应小组的邮件地址,其中包含伪装成来自 CBR 文档的五个恶意附件。研究人员表示,其中三个文件中是空文档,但三个文件中包含 Meterpreter Stager 下载文件。攻击者使用自签名的 SSL 证书实施攻击。加上和 MoneyTaker 组织相关联的服务器基础设施,研究人员认定罪魁祸首即是 MoneyTaker。
Silence 黑客组织被指拥有访问 CBR 文档的权限,很可能是来自俄罗斯银行员工的被攻陷收件箱。这使得攻击者能够构造糊弄训练有素的人员。
最危险的两个银行威胁
Group-IB 公司指出,多个组织在鱼叉式钓鱼攻击中针对俄罗斯央行,原因是央行向俄罗斯金融机构下达明星,而且和这些机构保持持续通信。
Group-IB 公司表示,Silence 和 MoneyTaker 组织是威胁金融组织机构的两大最危险的黑客组织。MoneyTaker 组织的攻击手段还包括路过式攻击以及测试网络对漏洞的反应,目的是访问能够从 ATM 机中提钱、处理卡或进行银行间转账的内部节点。
Group-IB 公司的威胁情报专家表示,尽管 Silence 组织主要使用钓鱼技术,它们在构造信息方面更加谨慎,会特别注意内容和设计。
推荐阅读
原文链接
https://www.bleepingcomputer.com/news/security/russian-banks-under-phishing-attack/
本文由360代码卫士编译,不代表360观点,转载请注明 “转自360代码卫士www.codesafe.cn”。