窃取银行数百万美元?黑客组织浮出水面

背景

疑似俄国的黑客组织 MoneyTaker 偷偷针对位于美国、英国和俄罗斯的银行、金融机构、律所发动攻击。发现该组织的安全公司 Group-IB 指出它至少在 2016 年 5 月之前就开始运营。18 个月以来,MoneyTaker 黑客组织针对多种金融组织机构发动 20 多次攻击,偷盗 1100 多万美元以及可用于后续攻击的敏感文档。

黑客工具

自从 2016 年 5 月实施成功攻击以来,MoneyTaker 黑客组织就针对位于美国加州、伊利诺伊州、犹他州、俄克拉荷马州、科罗拉州、南卡罗来纳州、密西里州、北卡罗来纳州、弗吉尼亚州和佛罗里达州的银行发动攻击,主要攻击的是网络防御措施有限的小型社区银行。

即使针对如此多的目标发动大规模攻击,但 MoneyTaker 黑客组织还是设法隐藏了自己的行踪,并通过多种公开可获取的渗透测试和黑客工具如 Metasploit、NirCmd、psexec、Mimikatz、Powershell Empire 以及在 2016 年俄罗斯的一次黑客大会上演示的 PoC 代码成功避开被怀疑的可能。

除了使用开源工具外,MoneyTaker 黑客组织还大量使用 Citadel 和 Kronos 银行木马来传播 PoS 恶意软件 ScanPOS。另外,MoneyTaker 黑客组织还使用通过由著名品牌如微软、雅虎、联邦储备银行、美洲银行等生成的 SSL 证书来隐藏恶意流量。

攻击运作方式

MoneyTaker 黑客组织攻击手法及其简单,在控制银行网络后,攻击者查看网络是否跟卡处理系统连接。如果是,他们会通过合法方式开设或购买所在银行 IT 系统已被黑的银行卡。整个犯罪流程,犯罪分子带上此前激活的银行卡到国外等待操作开始。进入卡处理系统后,攻击者删除或增加所持卡的现金取款限额,随后删除透支额度,这样他们即使仅持有储蓄卡也能取出现金。

MoneyTaker 的攻击目标?

Group-IB 方面调查了 20 多起由 MoneyTaker 组织发起的攻击活动(报告中将此称为‘黑客入侵’)。

MoneyTaker 攻击技术分析

该组织使用的多种工具部分为自主构建,也有一部分网上搜集来的。Metasploit 与 PowerShell Empire 渗透工具、银行木马(Citadel、Kronos)以及 NirCmd(一款小型命令行工具,允许攻击者以远程方式执行多种命令)都只是借用其他人的成果。

调查人员表示,“该组织的成员们拥有一定技术水平,能够及时调整所使用的工具,甚至能够在攻击过程中‘即时’修改源代码。”

他们对负责传递恶意载荷的服务器进行精心配置,确保其仅将恶意载荷发送至属于目标企业的特定 IP 地址列表。如果受攻击计算机重启,这些持久服务器则将再度起效以确保恶意文件始终驻留在目标系统之内。并在每一轮攻击活动之后,他们都会部署新的网络基础设施。该组织利用一款程序删除攻击过程中所用到的各程序及全部组件,从而消除所有追踪途径(不过该程序中存在一项错误,调查人员最终也正是借此获得了入侵证据)。

群众的观点

18 个月攻击银行 20 多次,这是真的?

对的,国外公司监控到的。话说外国的黑阔好厉害

居然 18 月后才发现这个黑客组织的存在

哈哈,黑客安全意识非常强,真正的黑客都存在于无形中。。。

能黑进银行内网也是厉害,有卧底?

哈哈,有卧底就有点恐怖了。这个案例是通过银行管理员的家庭电脑入侵到银行内网,大家的安全意识要提高了。

本文来自企鹅号 - 安全圈123媒体

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏FreeBuf

赛门铁克发现名为Dendroid的超强手机木马

Android平台现在越来越容易受到攻击,因为总有一些黑客在使出浑身解数来研发新的技术,想像“上帝”一样操纵他人手机,可惜这样永远不是“上帝”,“上帝”不会唯利...

1935
来自专栏安恒信息

机场安检设备在黑客攻击面前不堪一击

大多数机场使用的X光行李扫描仪很容易受到内部人士或者外部攻击者的攻击,从而让武器或其他违禁物品顺利通过安检。 不久前,有媒体曾报道过世界各地发生...

3448
来自专栏FreeBuf

解读美国国会关于OPM数据泄露事件的调查报告

2015年7月,美国联邦人事管理局(OPM)公开承认曾遭到两次黑客入侵攻击,攻击造成现任和退休联邦雇员超过2210万相关个人信息和560万指纹数据遭到泄露。 泄...

2238
来自专栏CSDN技术头条

斯诺登最新爆料:主流安全厂商数据也被NSA监控

斯诺登网(Edwardsnowden.com)再次爆出猛料,最新披露一份美国NSA内部文件《An Easy Win:Using SIGINT to Learn ...

2009
来自专栏安恒信息

云计算公司遭遇峰值流量400Gbps的DDoS攻击

昨日,提供防御DDoS攻击服务的云计算公司Cloudflare遭遇了史上攻击流量最大的分布式拒绝服务攻击(DDoS),据Cloudflare ...

3989
来自专栏大数据文摘

盘点美国七大最严重的政府数据泄露事件

1622
来自专栏技术视野

4种简单的方法保护您的公司免受网络攻击

就在过去的一年里,网络攻击已经成为几乎每个人和组织面临的可怕现实。无论是个体受害者还是任何规模的企业或政府组织,黑客窃取信息的行为都在发生,威胁迫在眉睫。

853
来自专栏FreeBuf

2017年中国网络安全报告

本报告涵盖恶意软件与恶意网址、移动安全、互联网安全、趋势展望等多个章节,从解各方面分析 2017 中国网络安全态势。 一、恶意软件与恶意网址 (一)恶意软件 1...

63010
来自专栏腾讯研究院的专栏

全球隐私及数据保护法律政策动态报告(上)

全球隐私及数据保护法律政策动态报告(上) 腾讯互联网法律研究中心  2014年第3季度 一、重点摘要 欧盟在cookies治理方面的努力已经进...

2039
来自专栏域名资讯

一三拼域名近五位数被秒

三拼域名因其简短好记的优点,在米市上一直很抢手,而且有很大一部分都是终端买走的。有消息称:又有一枚三拼域名xinhaoxuan.cn以近五位数的一口...

2320

扫码关注云+社区

领取腾讯云代金券