威胁趋势预警:Carbanak网络犯罪团伙开始瞄准酒店和餐饮业

简介:

威胁趋势预警:Carbanak网络犯罪团伙开始瞄准酒店和餐饮业

臭名昭著的Carbanak犯罪团伙正转变攻击方向,集中火力瞄准酒店和餐饮行业。

2015年曾发生过一系列的针对金融机构的网络恶意攻击活动,但其中没有一件比Carbanak犯罪团伙的活动来得更为大胆创新。该犯罪团伙瞄准了超过30个国家的100多家银行及其他金融机构,窃取的金额或可能高达10亿美元。但目前这一臭名昭著的犯罪团伙转变了攻击策略,开始集中火力攻击酒店和餐饮行业。

Trustwave公司报告称:

 “上个月公司分别收到两家服务业客户和一家连锁餐饮客户的委托,调查一起未知的黑客攻击事件。调查发现,三起攻击的作案手法十分类似,像是来自Carbanak团伙的攻击方法,只是现在他们把目标集中到了服务业”。

Trustwave公司的网络安全专家提到,从上周起,Carbanak团伙开始采用新的技术和恶意软件实施攻击。他们对服务业人士发起鱼叉式钓鱼网络攻击,诱导受害者阅读含有恶意宏文件的钓鱼邮件。

Trustwave安全公司观察到,攻击者会通过电话告诉客户,其在线服务出现了问题,然后说会就有关问题发送电子邮件。客户打开邮件里的附件之前,黑客会一直在线,当受害者打开恶意信息后黑客会立马挂掉电话。

对Carbanak的分析报告指出:

“邮件的附件是一个包含加密.VBS脚本的word文档,能够窃取系统信息,桌面截图以及下载其他恶意软件。该恶意VB脚本还会使用宏来搜索系统上的Microsoft word文档,一旦发现文档就会立即清空现有文档,代替成下面的文本内容。”

恶意VB脚本

首先,在第一阶段的攻击中黑客会下载一款恶意软件作为侦查工具,它可以下载主流的黑客工具,包括:Nmap, FreeRDP, NCat和NPing。

随后,还会下载额外的有效载荷进行下一阶段的攻击。

攻击者最终的目标是从受感染设备内存中挖掘敏感信息和信用卡数据等,被感染的设备上会有重新编译过的Carbanak恶意软件,这个恶意软件难以被检测出来,并且它会从PST文件中窃取信用卡信息、屏幕快照、键盘记录器信息、邮箱地址,授权RDP、VNC进程,或者获取其他系统信息。

为了获取受害者设备的全部控制权,这个恶意软件会在设备上建立后门。通过443端口上的一个加密通道和如下所列的IP地址进行通信:

5.45.179.173

92.215.45.94

所有窃取信息均采用base64+RC2加密,并通过HTTP POST发送消息。

新一轮的攻击大约开始于6个星期前,Trustwave公司已经发布了一系列新的“攻击指标(indicators of compromise)”,能够帮助管理人员和安全专家发现威胁。

Trustwave报告的结论称:

“这次攻击的持久性,专业性,普遍性都是Trustwave公司所罕见的,他们使用的恶意软件也非常具有多面性,大多数(或者说没有)防病毒引擎都无法检测出这些恶意软件。社会工程也具有高度针对性,通过电话诱骗受害者的黑客具备优秀的英语表达技能。此外,网络侦察和横向运动也是迅速和高效的。最后,数据过滤方法隐藏性高,效率高。”

事实上,像Carbanak团伙这样改变攻击目标开始针对餐饮服务业,说明攻击者们获利的行业方向已经发生了明显的变化。

其实,这也已经不是黑客团伙第一次将目标瞄准服务业了。2014年11月,Kasperky就发现了一支自称“Darkhotel”的黑客组织,通过酒店网络系统来攻击在亚洲出差的企业高管。Darkhotel活动至少持续了四年,针对选定企业的出差高管人员。据安全专家所言,这些犯罪分子的目标是窃取奢侈酒店住户的敏感数据。这些攻击者展现了极为高超的技能,能够过滤数据并抹去他们的活动痕迹。


作者:米雪儿

来源:51CTO

相关文章
西班牙破获一个庞大僵尸网络犯罪团伙
3月3日消息,西班牙调查人员和私营计算机安全公司合作抓获了所谓“Mariposa”僵尸网络的三个团伙头目。这个僵尸网络是在2008年12月出现的,已经发展成为网络犯罪最大的武器之一。其它国家预计很快将逮捕更多与此有关的犯罪嫌疑人。
673 0
|
安全 PHP
威胁预警|多个挖矿僵尸网络开始使用ThinkPHP v5漏洞 威胁升级
12月10日ThinkPHP团队发布了版本更新,修复了一处远程命令执行漏洞,该漏洞是由于ThinkPHP框架对控制器没有进行严格的安全过滤,致使攻击者可以伪造恶意参数进行代码执行。12月11日阿里云即发布威胁预警,表示捕获到首例利用漏洞的攻击案例,并提醒用户及时进行漏洞修复和攻击防范。
3380 0
|
运维 安全 NoSQL
游戏安全资讯精选 2017年 第六期:Akamai报告称游戏是流量型攻击的主要受害者,英国二手游戏经销商CeX漏洞遭利用,MongoDB等数据服务被劫持勒索风险预警,网络安全上榜五大稀缺职业
Akamai报告称游戏是流量型攻击的主要受害者,英国二手游戏经销商CeX漏洞遭利用,MongoDB等数据服务被劫持勒索风险预警,网络安全上榜五大稀缺职业
2558 0
|
安全
追踪盗窃12亿用户登录数据的网络犯罪团伙
本文讲的是追踪盗窃12亿用户登录数据的网络犯罪团伙,近期公开的一份FBI在法院提交的陈述文档中显示,一个盗取12亿互联网登录证书的网络盗窃团伙被关联到一个俄罗斯的电子邮箱地址。
1244 0