银行大盗“Carbanak”木马攻击目标移至中东

.

近日，安全公司Proofpoint在收集了黑客组织Carbanak最新活动信息称，目前该组织的攻击目标正在转向中东金融行业高管。

Carbanak组织正在转移攻击目标

根据最新信息显示，该组织主要针对中东、美国等地区的银行开展网络攻击。一年前，卡巴斯基实验室曾发出警告：小心网络罪犯采用具有政府背景的APT工具和策略抢劫银行。当时除了该组织之外，还发现两个分别名为Metel和GCMAN的攻击组织利用同样的攻击方式打劫银行。这些攻击组织使用隐蔽的APT侦察手段和定制的恶意软件以及合法软件进行攻击，并利用最新的创新手段窃取资金。在2015年9月国际战略研究中心（CSIS）的安全小组发现了臭名昭著的Carbanak木马的新变种传播在网络上，其目标直指欧美的金融组织。

CSIS在一篇博文中描述道：

“最近，CSIS在进行的一项涉及到微软Windows客户端的取证分析中发现，其企图进行网上银行欺诈交易。调查取证中，我们设法分离出来一个拥有签名的二进制文件，后来我们发现这是一个Carbanak的新型变种。我们推测这个变种的目的是从欺诈交易中获取资金。“

卡巴斯基出具的一份报告中表明：

“涉及到Carbanak的转账交易数量很频繁。Carbanak这个跨国团伙很有可能已经注册了一家公司并拥有一个银行账户，这样他们可以轻易将偷来的钱转移到公司账户并完全控制转账过程。”

在上个月，卡巴斯基安全实验室声称“Carbanak cybergang”归来，并与其它一些黑客组织采用类似的APT攻击手法。新型Carbanak木马被指依赖于预先设置的IP地址，并且为了躲避查杀，它的数字证书签名是俄罗斯一家批发公司。目前卡巴斯基已经证实Carbanak gang（ Carbanak 2.0），目前在对不同类型的公司进行网络攻击，包括金融机构、电信公司等。

该组织该对俄罗斯银行使用一种恶意软件Metel（Corkow），利用该恶意软件发送鱼叉式网络钓鱼电子邮件。

本周Proofpoint研究人员发现了一个新的趋势，该组织主要针对中东多个目标发起网络攻击，例如黎巴嫩、也门等。而在这些活动中，主要针对的是高层管理人员，例如银行和软件公司的业务经理等。攻击者发送的叉式网络钓鱼电子邮件中包含一个恶意的URL链接，同时利用一个旧版本的Office软件漏洞（CVE-2015-2545），并为下载 Carbanak提供一个有效路径（Spy.Sekur）。

攻击范围也在扩大

在一些情况下，攻击者发送的邮件中含有jRAT远控木马，Proofpoint发布报告称：

“我们最近发现了Carbanak组织的一些企图，攻击在中东、美国以及欧洲金融或涉及财务公司的高层管理人员，钓鱼邮件还有链接、宏文件、利用漏洞文档，利用Spy.Sekur（Carbanak恶意软件），远程木马病毒（jRAT、Netwire、 Cybergate ），这样做可以让第三方获取访问权限。”

报告中这样描述：

“与之前3月1日活动不同的是，文档中包含了链接，同时在邮件中添加了附件，这两个文档“emitter request_2016-03-05-122839.doc”以及“Reverse debit posted in Error 040316.doc”，利用自动运行宏从hxxp://154.16.138[.]74/sexit.exe，最终下载 Spy.Sekur。”

目前，可以确定的是该组织已经开始扩大攻击范围了。

*参考来源：securityaffairs、proofpoint，FB小编亲爱的兔子编译