最近的恶意软件攻击波兰银行与更广泛的黑客攻击竞选活动
最近将波兰银行部门的恶意软件攻击是关于来自30多个国家的金融组织的更大竞选活动的一部分。
Symantec和Bae Systems的研究人员将最近发现的Polish攻击中使用的恶意软件联系起来,以自10月份在其他国家/地区以来发生的类似攻击。作为Lazarus的安全行业已知的一组攻击者使用的工具也存在相似之处。
黑客受到兴趣对其最终目标感兴趣的网站,这是一种称为浇水孔攻击的技术。然后,他们将代码注入到将访问者重定向到自定义漏洞套件的网站中。
Exploit套件包含用于Silverlight和Flash Player中的已知漏洞的利用;只有从特定范围内获得互联网协议地址的访问者仅激活漏洞。
[进一步阅读:战斗勒索软件:清新看Windows Server方法]“这些IP地址属于位于31个不同国家的104个不同组织,”赛门铁克的研究人员在星期天的一篇博客文章中表示。“绝大多数这些组织都是银行,少数电信和互联网公司也在名单上。”
就有针对性的波兰银行而言,它涉嫌恶意代码在波兰金融监管机构的网站上托管,该部门为银行业的政府监督管理部门。BAE系统的研究人员发现了指向自定义Exproit套件的类似代码出现在11月国家银行和墨西哥股票委员会的网站上。这是墨西哥相当于波兰金融监督权。
根据BAE系统,也在该南美国家最大的国有银行Banco delahogública东方德尔乌拉圭的网站上找到了相同的代码。
包含在目标IP地址列表中,是来自波兰的19个组织,来自美国九个来自墨西哥的九个组织,来自U.K.的七个,以及六位来自智利。
expoits的有效载荷是赛门铁克现在称为下载器.ratankba的先前未知的恶意软件下载器。其目的是下载另一个可以从受损系统收集信息的另一个恶意程序。第二种工具与Lazarus集团过去使用的恶意软件具有代码相似之处。
赛门铁克研究人员表示,自2009年以来,拉撒路一直在经营,并主要专注于过去美国和韩国的目标。本集团还涉嫌去年孟加拉国央行涉及8100万美元的盗窃。在那次攻击中,黑客使用恶意软件来操纵银行使用的计算机以在SWIFT网络上运行货币转移。
“将拉撒库集团演员联系起来的技术/取证证据尚不清楚,”BAE系统研究人员在星期天的一篇博客文章中说。“然而,鉴于他们以前的哈氏居民的目标瞄准了潜伏期的运营效益,选择了银行主管和国内银行网站的选择将是恰当的。”
