赛门铁克发现一家菲律宾银行受到网络犯罪团伙攻击。该团伙曾在孟加拉中央银行盗取8100万美元,并试图在越南先锋银行盗取100多万美元。
网络攻击者在对一家菲律宾银行攻击中也使用了该团伙所用的恶意软件。除此之外,此次攻击中一些工具所使用的代码,与一个名为“Lazarus”的网络威胁团伙在以往攻击中所使用的恶意软件相似。这些攻击可追溯至2015年10月份。两个月后,相关人员才发现那次对越南的攻击以失败告终,这也是我们迄今为止最早了解到的相关攻击事件。
调查发现网络攻击者用恶意软件掩盖欺诈性转账的证据。在此之后,孟加拉中央银行受攻击事件触发了SWIFT(环球同业银行金融电讯协会)支付网络的警觉。SWIFT进一步发出警告,声称其已发现网络攻击者正以相同方式利用恶意软件攻击另一家银行。越南先锋银行随后发表声明,声称该行在去年第四季度拦截了一次超过100万美元的欺诈性转账。SWIFT认为第二次攻击表明一场范围广、适应性强,以银行为目标的攻击活动正蓄势待发。
第三家受害银行,即厄瓜多尔的Banco del Austro银行,也声称网络攻击者使用SWIFT欺诈交易使其损失了1200万美元。 然而,目前我们还不知道网络攻击者在这起事件中所使用工具的详细信息,也不知道其是否与亚洲发生的多起网络攻击有关。
发现网络攻击者所使用其它工具 赛门铁克发现网络攻击者在针对东南亚金融业的有限目标性攻击中使用了三种恶意软件:Backdoor.Fimlis、Backdoor.Fimlis.B 和Backdoor.Contopee。 刚开始,我们不清楚这些攻击背后的动机是什么,但是Trojan.Banswift(网络攻击者在攻击孟加拉中央银行时使用该恶意软件以操纵SWIFT交易)和Backdoor.Contopee早期变体之间共用之代码为我们提供了一条线索。
在分析Trojan.Banswift样本时,我们发现了一种独特的文件删除代码,这些代码的一些特性包括:
图1. 我们在Trojan.Banswift和Lazarus的其它工具中发现了独特的删除代码
这种代码看起来非常独特。更引人注意的是,在搜索其它含有精确组合的“控制”字节时,我们还发现了Backdoor.Contopee早期变体和“msoutc.exe”样本,BAE近期有关分析孟加拉受攻击事件的博文对此进行了讨论。
赛门铁克发现多类恶意软件共用独特代码,且网络攻击者曾使用Backdoor.Contopee对东南亚地区金融机构进行有限的目标性攻击。因此,赛门铁克认为以上事实意味着这些恶意软件可能出自于同一团伙之手。
历史攻击 一些网络攻击者先前就使用过Backdoor.Contopee,而他们都与一个名为“Lazrus”的团伙有关。该团伙广泛威胁到了网络安全,且至2009年以来该团伙与一连串网络入侵攻击均有关联,其主要目标为美国和韩国。该团伙还与高度破坏性的木马程序Backdoor.Destover有着一定联系。在网络攻击者使用此木马攻击索尼电影娱乐公司后,此木马便成为了美国联邦调查局(FBI)的警告对象。而且,FBI认为北朝鲜政府应对此次攻击负责。
在今年年初,名为“重磅操作(Operation Blockbuster)”的跨行业活动将该团伙列为防御对象。各大网络安全供应商均如数参加,分享相关情报和资源,以帮助商业机构和政府机构保护自己免受Lazarus攻击。作为此次活动的一部分,网络安全供应商互相传播恶意软件签名及其它与这些攻击者有关的实用情报。
危险不断 此类攻击日渐猖獗,这进一步证实该团伙正组织一场针对东南亚地区金融业目标的大规模攻击。虽然现在人们已经提高了对该团伙构成威胁的警觉度,但是该团伙最初的成功案例可能促使其它网络攻击团伙发起类似攻击。因此,银行和其它金融机构应仍对此保持警惕。
保护 赛门铁克和诺顿的产品通过以下检测使电脑免受这些威胁:
反病毒