銀行大盜Carbanak原始碼公佈兩年,竟無人知?
據外媒報道, 世界上最危險的惡意軟體之一Carbanak的原始碼已經在VirusTotal上釋出了兩年,但幾乎無人知曉,甚至連安全公司都沒有注意到。
最終, 美國網路安全公司FireEye的安全研究人員發現了Carbanak,且官網上已釋出了部落格文章,將詳細地分析Carbanak原始碼,網路安全社群可進行學習。
部落格文章地址:
https://www.fireeye.com/blog/threat-research/2019/04/carbanak-week-part-one-a-rare-occurrence.html
Carbanak惡意軟體是一個後門木馬,是黑客組織FIN7的作品,FIN7也被稱為Carbanak、Anunak或Cobalt組織。 FIN7是迄今為止世界上最危險、最多產的黑客組織之一,專門對銀行和金融機構進行黑客攻擊,涉案金額超過10億歐元。
以下是FIN7組織這些年來的活動:
-
2013-2014年,開發了Anunak惡意軟體,主要針對金融機構和ATM網路。
-
2014-2016年,開發了比Anunak更先進和複雜的Carbanak惡意軟體。
-
2016-2017年,使用一個合法的滲透測試神器Cobalt Strike開發了自定義惡意軟體。
Carbanak後門是該組織的第二代惡意軟體,為入侵銀行網路的主要工具。 FIN7通常通過銀行員工感染Carbanak惡意軟體,進入銀行敏感系統。
多年來,受命調查FIN7攻擊的安全研究人員大多都已經掌握了Carbanak惡意軟體,但擁有的只是編譯版本,很難深入分析和完全理解。
然而,情況在2019年4月發生了變化,FireEye安全研究員Nick Carr在惡意軟體掃描入口網站VirusTotal上發現了兩份檔案,其中包含了Carbanak的原始碼。 Carbanak原始碼為20MB,包含755個檔案。
這兩個檔案是從俄羅斯的一個IP地址中上傳的,雖然該組織已經改用基於Cobalt Strike的惡意軟體工具,但是還是能幫助研究人員更好地理解FIN7的惡意軟體。
Carr表示, 這兩份檔案包含了惡意軟體的全部原始碼,以及之前從未見過的外掛,程式碼超10萬行。
2018年7月,有訊息稱Carbanak程式碼在現已關閉的Mal3all黑客論壇上被洩露,但經證實是假訊息。經過進一步的分析,2018年7月洩露的原始碼是RatoPak惡意軟體的程式碼,屬於Corkow組織,這是另一個網路犯罪組織,目標同樣也是銀行,且其運作模式與Carbanak在2014年建立的模式相同。
如今,FIN7組織已不復存在。 2018年3月, 歐洲刑警組織在西班牙逮捕了該團伙的頭目,同年8月,烏克蘭警方逮捕了三名嫌疑人。
不過FIN7的其他成員並沒有就此放棄。 來自網路安全行業的多個訊息稱,FIN7組織似乎已經分裂成更小的團伙,且仍然以銀行業為目標。
宣告:本文來自E安全,版權歸作者所有。文章內容僅代表作者獨立觀點,不代表安全內參立場,轉載目的在於傳遞更多資訊。如有侵權,請聯絡 [email protected]。