俄罗斯银行遭受两个黑客组织的网络钓鱼攻击
时间 : 2018-11-19 编辑 : DNS智能解析专家
近日,一家网络安全公司表示,他们已经确定了针对俄罗斯金融机构的两项主要网络钓鱼活动,其电子邮件声称来自该国的中央银行和金融网络安全机构。
其中一次袭击发生在15日周四早上,由莫斯科的Group-IB提供给臭名昭着的Silence黑客组织,该攻击涉及声称来自俄罗斯中央银行(CBR)的电子邮件。电子邮件附带.zip文件附件,据说与“CBR电子通信格式的标准化”有关,但实际上是Silence下载程序。
Group-IB在9月的一份报告中表示,至少有一名沉默团队成员与网络安全行业有联系,无论是现在还是以前在该领域的公司工作。该公司表示自2016年以来,Silence一直在偷偷摸摸地离开。
就星期四的黑客行为而言,Group-IB表示这些电子邮件的格式与CBR真正发送的电子邮件的格式非常接近,这表明“黑客最有可能访问合法电子邮件的样本”。然而,虽然电子邮件地址可能是欺骗性的,但电子邮件本身并未通过DomainKeys Identified Mail(DKIM)验证。
另一项网络钓鱼活动于10月23日展开,涉及来自与俄罗斯金融部门计算机应急响应小组(FinCERT)相关的假地址的电子邮件,并且还带有伪造的CBR附件,在这种情况下,触发了Meterpreter stager的下载。
Group-IB表示,这次攻击很可能是一个名为MoneyTaker的名叫黑客的黑客组织。它提出了这一主张,因为该攻击使用了以前在MoneyTaker攻击中使用过的服务器基础设施。
Group-IB之前曾将MoneyTaker归咎于 7月份的攻击,该攻击使PIR银行至少减少了92万美元。去年年底,当它将MoneyTaker视为威胁时,Group-IB 表示该服装已经针对银行,律师事务所和金融软件供应商。
这家网络安全公司在16日周五的一份声明中表示,MoneyTaker是黑客群体中更危险的一种,它使用一系列武器,包括鱼叉式网络钓鱼电子邮件,偷渡式攻击和银行网络基础设施测试。
Group-IB负责动态恶意软件分析的负责人Rustam Mirkasymov表示:“就他们而言资源不足,只能使用经过试验和测试的攻击方法 - 网络钓鱼电子邮件”。“然而,与他们的同事不同,他们更密切关注他们的网络钓鱼电子邮件的内容和设计。”
来源:https://www.zdnet.com/article/russian-banks-hit-by-major-phishing-attacks-from-two-hacker-groups/
