攻击者利用一种恶意软件成功入侵了大约30个国家的超过100家金融企业

根据报告，Carbanak组织是由来自亚洲和欧洲等多个国家的黑客所组成的，已知的攻击行动最早可追溯到2013年年底，攻击者利用一种名为“Carbanak”的恶意软件成功入侵了大约30个国家的超过100家金融企业。

目前，Proofpoint公司的安全研究人员已经收集到了有关新生组织Carbanak的一系列证据，这些证据足以证明该组织的黑客正在对包括中东地区国家和美国在内的多个国家银行进行网络攻击。

目前为止，Proofpoint公司的安全研究人员仍然在收集有关Carbanak黑客组织的活动信息。而这一次，这一新兴犯罪组织中的黑客正准备对中东地区和美国等多个国家的银行进行网络攻击。

去年，卡巴斯基公司曾对大量针对俄罗斯企业和组织所发动的网络攻击进行了调查和分析。研究人员表示，他们对其中的29起网络攻击事件进行了分析，并且发现，这些攻击活动基本上都是由Carbanak组织以及另外的两个黑客组织所发动的（“Metel”和“GCMAN”）。安全研究专家们之所以会这样认为，主要是因为他们所采用的入侵技术基本上是一样的。

在2015年9月，CSIS中心的安全研究专家发现，攻击者在对美国和欧洲的多个主要机构进行攻击的过程中，主要使用的是网络钓鱼技术。而在此过程中，攻击者仍然使用的是Carbanak恶意软件。

CSIS在其发表的一篇文章中写到：“最近，CSIS发现有攻击者曾对银行的网银交易系统进行攻击，目前相关技术人员正在对网银的Windows客户端进行调查取证和分析。作为调查取证工作的一部分，我们设法分离出了其中的有效二进制代码，在我们仔细分析之后，我们发现这是一种新型的Carbanak恶意软件样本。所以我们推测，这家公司的主要目的就是从欺诈交易的过程中谋取利益。而此前卡巴斯基实验室也发表报告表示，与Carbanak有关的资金交易数量非常的庞大。攻击者很有可能已经注册了一家公司，并且还在银行开立了相关账户来存储他们在欺诈活动中盗取来的金钱。不仅如此，他们甚至还可以自由地控制整个资金交易流程。”
卡巴斯基实验室人员称，这款“Carbanak”恶意软件相当高级，在盗取资金相关的账号信息同时，能入侵银行系统管理员账号，让犯罪分子获得控制权限，通过内部视频监控镜头观察员工的一举一动。

经过数月的“潜伏”，犯罪分子可以逐渐熟悉银行业务操作，模仿银行员工的业务手法将资金转移到一些虚假账户，或者通过程序操控指定ATM在指定时间吐钱。

犯罪分子作案手法相当狡猾，甚至会修改报表，盗走其中的差额部分，让银行方面难以立刻发现。与此同时，他们采取分散作案的手法，从每家银行窃取的资金不超过1000万美元，以保持案值的“低调”。

上个月，卡巴斯基实验室的安全研究专家还发现，Carbanak网络犯罪组织又重出江湖了，而且还有很多其他的黑客组织也在采用这种类型的攻击技术来窃取目标用户的金钱。

新型的Carbanak木马依赖于预定义的IP地址，而不是网络域名。为了提高木马躲避安全防护软件检测的能力，攻击者在其代码中还会利用数字证书来进行签名认证。

卡巴斯基实验室已经确认，CSIS所发现的攻击活动的确是由Carbanak组织（卡巴斯基实验室称其为Carbanak 2.0）所发动的。而且该组织目前正在准备对各大企业和组织机构中的财务部门进行攻击，其中还包括金融机构和电信公司在内。

据了解，该组织在针对一家俄罗斯银行进行攻击时，使用了一种名为“Metel”的恶意软件（也叫Corkow），并且还利用了网络钓鱼邮件来入侵该银行的网络系统。

这周，Proofpoint的安全研究人员还发现了针对中东国家的新型攻击活动，其中受影响的国家还包括阿联酋，科威特，黎巴嫩和也门。这一新型的攻击活动针对的是银行和各大软件公司的高层管理人员、决策人、以及业务经理等等。

Carbanak组织的攻击目标似乎一直都是银行，金融机构，软件销售企业，以及专业服务公司中的高层管理人员。

攻击者会利用网络钓鱼技术来对目标用户进行攻击，钓鱼邮件中包含有一条指向恶意文件的URL地址，而这个恶意文件可以触发老版本Office软件中的漏洞（CVE-2015-2545）。这样一来，攻击者就可以将Office软件作为恶意软件的下载平台，然后在目标主机中加载Carbanak payload，即Spy.Sekur。

在其他情况下，Carbanak组织的黑客们还会在钓鱼邮件中包含一条可以远程访问jRAT木马（一款使用Java语言开发的木马病毒）的恶意链接。

下面列出的是我们近期所检测到的与Carbanak有关的攻击活动：

l  针对中东国家，美国，以及欧洲等多个地区的金融公司进行攻击。受攻击的用户主要是金融机构中的高层管理人员和决策人员。
l  利用网络钓鱼邮件传播恶意URL地址，包含有恶意宏的文件，以及能够触发软件漏洞的文件。

l  利用Spy.Sekur（Carbanak恶意软件）和一些其他的恶意软件来远程获取木马病毒，例如jRAT，Netwire，Cybergate等等。详细信息请阅读Proofpoint所发布的研究报告。

除了上述的内容之外，安全专家还对其他针对美国和欧洲大型公司的攻击活动进行了分析。受影响的行业包括金融公司，大众媒体平台，以及其他的一些公司。奇怪的是，攻击者攻击的是这些组织和机构的火警系统和温度控制系统。

与研究人员在3月1日时发现的攻击活动不同，在那次攻击事件中，攻击者在钓鱼邮件中包含有一个可以触发软件漏洞的恶意文件。而这一次，攻击者在钓鱼邮件中附带了其他的文件。邮件中包含有以下两个文件：

remitter request_2016-03-05-122839.doc
Reverse debit posted in Error 040316.doc

一旦用户打开了这两个文件，那么计算机将会从地址“hxxp://154.16.138[.]74/sexit.exe”下载Spy.Sekur木马的payload。
在这一攻击活动中，攻击者在钓鱼邮件中附带了Word文档，而Word文件中又嵌入了恶意宏。

研究人员在调查取证的过程中收集了大量的信息，在对这些信息进行详细地分析之后，安全专家们发现，针对美国的攻击数量占比达到了17.7%，其次就是阿曼，澳大利亚，阿联酋，科威特，巴基斯坦，荷兰和德国。
除此之外，研究人员还发现了一些与Carbanak组织有关的其他攻击活动，例如Cybergate，DarkComet以及MorphineRAT。

目前，相关研究人员仍在对此事件进行数据采集工作，我们也会在第一时间将最新的研究结果提供给大家。