最近对波兰银行的恶意软件攻击与更广泛的黑客活动有关.远程控制软件,灰鸽子.

admin

最近对波兰银行的恶意软件攻击与更广泛的黑客活动有关.远程控制软件,灰鸽子.
黑客攻击了30多个国家的100多个组织

黑客

最近使波兰银行部门警惕的恶意软件攻击是针对来自30多个国家的金融机构的更大规模运动的一部分。

赛门铁克和BAE系统的研究人员将最近发现的波兰攻击中使用的恶意软件与自10月以来在其他国家发生的类似攻击联系起来。还有一些与以前在安全行业中称为拉撒路的攻击者使用的工具的相似之处。

黑客攻击了他们最终目标感兴趣的网站，这种技术被称为水坑攻击。然后他们向他们注入了将访客重定向到自定义漏洞利用工具包的代码。

该漏洞利用工具包包含对Silverlight和Flash Player中已知漏洞的攻击，并且仅对具有特定范围的Internet协议地址的访问者激活攻击。

“这些IP地址属于位于31个不同国家的104个不同的组织，”赛门铁克的研究人员在星期日的一篇博客文章中说。 “这些组织绝大多数是银行，少数电信和互联网公司也在名单上, 远程控制软件, 远程控制。

在目标波兰银行的情况下，怀疑该恶意代码在波兰金融监管局的网站上托管，波兰金融监管局是银行部门的政府监督机构。 BAE系统研究人员发现，11月份在墨西哥国家银行和股票委员会的网站上发现了类似的指向自定义漏洞利用工具的代码。这是墨西哥人相当于波兰金融监管局。

根据BAE系统公司，在南美洲国家最大的国有银行 - 乌拉圭银行（Banco de laRepúblicaOriental del Uruguay）的网站上也发现了相同的代码。

目标IP地址列表中包括来自波兰的19个组织，来自美国的15个组织，来自墨西哥的9个组织，来自英国的7个组织，来自智利的6个组织。

漏洞的有效负载是以前未知的恶意软件下载程序，Symantec现在称为Downloader.Ratankba。其目的是下载另一个恶意程序，可以从受损系统收集信息。这第二个工具的代码类似于过去由拉撒路组使用的恶意软件。

赛门铁克研究人员说，Lazarus从2009年开始运营，并且主要关注美国和韩国的目标。该集团还涉嫌参与去年孟加拉国中央银行盗窃8100万美元。在这次攻击中，黑客利用恶意软件操纵银行使用的计算机通过SWIFT网络操作汇款。

BAE系统研究人员在星期日的一篇博客中说，“将拉扎路斯集团行动者连接到浇水洞活动的技术/法医证据还不清楚。 “然而，银行主管和国家银行网站的选择将是适当的，因为他们之前的目标是中央银行的heists，即使它没有什么运营利益渗透更广泛的银行部门。