賽門鐵克已找到證據,證明攻擊菲律賓某銀行的團體,和過去自孟加拉中央銀行盜走 8100 萬美元,並曾嘗試自越南先鋒銀行盜走 100 萬美元的團體為同一組織。
該團體所用的惡意程式也被用來攻擊菲律賓的銀行。除此之外,部分工具使用的共用程式碼,和過去銀行攻擊事件所用的惡意程式有相似之處。而這些惡意程式和一個被稱作 Lazarus 的威脅團體有關。這一連串銀行攻擊事件最早可追溯到 2015 年 10 月,比越南攻擊失敗事件被發現的時間早兩個月,而那也是迄今所知最早的銀行攻擊事件。
對孟加拉中央銀行的攻擊,以及發現攻擊者利用惡意程式掩蓋詐騙轉帳的事實,引發了 SWIFT 付款網路的警示。SWIFT 進一步警告,表示已找到證據顯示另一家銀行正遭到惡意程式以相似手段攻擊。越南先鋒銀行隨後發表聲明,表示在去年第四季,攔截到一筆超過 100 萬美元的詐騙轉帳。SWIFT 推論,第二次的攻擊顯示,一起針對銀行的「更廣泛且靈活多變的攻擊行動」正在進行。
第三家遭受攻擊的銀行是厄瓜多的 Banco del Austro 銀行,利用偽造 SWIFT 交易的手法,攻擊者自該銀行盜走 1,200 萬美元。不過,目前仍沒有厄瓜多攻擊事件中所用工具的詳細資訊,該事件是否和亞洲的攻擊事件有所關連也尚不清楚。
發現更多攻擊者使用的工具
賽門鐵克已經找到在東南亞金融業為數不多的目標式攻擊中所使用的三種惡意程式:Backdoor.Fimlis、Backdoor.Fimlis.B,以及 Backdoor.Contopee。一開始,這些攻擊背後的動機仍不甚明朗,但 Trojan.Banswift (孟加拉攻擊事件中被用來控制 SWIFT 交易) 以及 Backdoor.Contopee 早期變種所共用的程式碼,為賽門鐵克提供了線索。
在分析 Trojan.Banswift 樣本時,賽門鐵克找到了一個特殊的檔案清除碼。這個清除碼具有一些獨特內容,包括:
圖 1.在 Trojan.Banswift 及其他 Lazarus 工具中發現的獨特清除碼
這個清除碼本身已十分特別。更有趣的是,我們在尋找其他具有相同「控制」位元組組合的惡意程式時,找到了一個 Backdoor.Contopee 的早期變種,以及因為對孟加拉攻擊事件的分析,在最近於 BAE 系統威脅研究部落格中受到討論的“msoutc.exe”樣本。
賽門鐵克相信,從這個由不同系列惡意程式所共用的程式碼,以及 Backdoor.Contopee 被用於對東南亞金融機構進行目標式攻擊的事實,可以推論這些工具都來自相同的團體。
過去的攻擊事件
過去使用 Backdoor.Contopee 的攻擊者和被稱作 Lazarus 且造成許多威脅的團體有關。自 2009 年起,Lazarus 曾涉及一連串侵略性攻擊,其大部分將目標鎖定在美國與南韓。這個團體也和 Backdoor.Destover 有關,那是一種能造成重大破壞的特洛伊木馬程式。在其被用來攻擊索尼影視娛樂之後,便已成為 FBI 警告的對象。FBI 推測,北韓政府負責這次攻擊。
今年年初,名為「Operation Blockbuster」,針對 Lazarus 的跨產業行動正式開始。各大安全廠商加入該行動,分享情報與資源,以協助企業與政府機構報保護自己,對抗 Lazarus。在行動的一開始,安全廠商彼此交換惡意程式特徵與其他和攻擊者有關的有用情報。
危機四伏
更多攻擊事件被發現,更加證明涉案團體正針對區域內的金融目標,策劃更大的攻擊行動。儘管各界已開始對此犯罪團體提高警覺,該團體迄今為止的成功可能引起其他攻擊團體的效法,並隨之發動相似的攻擊行動。各大銀行與金融機構應對此保持警惕。
防護方法
賽門鐵克與諾頓產品能夠透過下列偵測抵禦這些威脅:
防毒