威脅趨勢預警:Carbanak網絡犯罪團伙開始瞄準酒店和餐飲業
臭名昭著的Carbanak犯罪團伙正轉變攻擊方向,集中火力瞄準酒店和餐飲行業。
2015年曾發生過一系列的針對金融機構的網絡惡意攻擊活動,但其中沒有一件比Carbanak犯罪團伙的活動來得更為大膽創新。該犯罪團伙瞄準了超過30個國家的100多家銀行及其他金融機構,竊取的金額或可能高達10億美元。但目前這一臭名昭著的犯罪團伙轉變了攻擊策略,開始集中火力攻擊酒店和餐飲行業。
Trustwave公司報告稱:
| “上個月公司分別收到兩家服務業客戶和一家連鎖餐飲客戶的委托,調查一起未知的黑客攻擊事件。調查發現,三起攻擊的作案手法十分類似,像是來自Carbanak團伙的攻擊方法,只是現在他們把目標集中到了服務業”。 |
Trustwave公司的網絡安全專家提到,從上周起,Carbanak團伙開始采用新的技術和惡意軟件實施攻擊。他們對服務業人士發起魚叉式釣魚網絡攻擊,誘導受害者閱讀含有惡意宏文件的釣魚郵件。
Trustwave安全公司觀察到,攻擊者會通過電話告訴客戶,其在線服務出現了問題,然后說會就有關問題發送電子郵件。客戶打開郵件里的附件之前,黑客會一直在線,當受害者打開惡意信息后黑客會立馬掛掉電話。
對Carbanak的分析報告指出:
|
“郵件的附件是一個包含加密.VBS腳本的word文檔,能夠竊取系統信息,桌面截圖以及下載其他惡意軟件。該惡意VB腳本還會使用宏來搜索系統上的Microsoft word文檔,一旦發現文檔就會立即清空現有文檔,代替成下面的文本內容。” |
首先,在第一階段的攻擊中黑客會下載一款惡意軟件作為偵查工具,它可以下載主流的黑客工具,包括:Nmap, FreeRDP, NCat和NPing。
隨后,還會下載額外的有效載荷進行下一階段的攻擊。
攻擊者最終的目標是從受感染設備內存中挖掘敏感信息和信用卡數據等,被感染的設備上會有重新編譯過的Carbanak惡意軟件,這個惡意軟件難以被檢測出來,并且它會從PST文件中竊取信用卡信息、屏幕快照、鍵盤記錄器信息、郵箱地址,授權RDP、VNC進程,或者獲取其他系統信息。
為了獲取受害者設備的全部控制權,這個惡意軟件會在設備上建立后門。通過443端口上的一個加密通道和如下所列的IP地址進行通信:
| 5.45.179.173
92.215.45.94 |
所有竊取信息均采用base64+RC2加密,并通過HTTP POST發送消息。
新一輪的攻擊大約開始于6個星期前,Trustwave公司已經發布了一系列新的“攻擊指標(indicators of compromise)”,能夠幫助管理人員和安全專家發現威脅。
Trustwave報告的結論稱:
| “這次攻擊的持久性,專業性,普遍性都是Trustwave公司所罕見的,他們使用的惡意軟件也非常具有多面性,大多數(或者說沒有)防病毒引擎都無法檢測出這些惡意軟件。社會工程也具有高度針對性,通過電話誘騙受害者的黑客具備優秀的英語表達技能。此外,網絡偵察和橫向運動也是迅速和高效的。最后,數據過濾方法隱藏性高,效率高。” |
事實上,像Carbanak團伙這樣改變攻擊目標開始針對餐飲服務業,說明攻擊者們獲利的行業方向已經發生了明顯的變化。
其實,這也已經不是黑客團伙第一次將目標瞄準服務業了。2014年11月,Kasperky就發現了一支自稱“Darkhotel”的黑客組織,通過酒店網絡系統來攻擊在亞洲出差的企業高管。Darkhotel活動至少持續了四年,針對選定企業的出差高管人員。據安全專家所言,這些犯罪分子的目標是竊取奢侈酒店住戶的敏感數據。這些攻擊者展現了極為高超的技能,能夠過濾數據并抹去他們的活動痕跡。
