查看原文
其他

新型银行木马Odinaff,与Carbanak团伙有关

代码卫士 2022-04-06



赛门铁克发现一款主要针对银行机构的新型木马,该木马与网络犯罪团伙Carbanak有关,该团伙曾于2013年和2014年从30个国家的100家银行窃取1亿美元巨款。


该木马名为Odinaff,于2016年1月首次发现,多家公司已受到攻击,其中主要为银行机构,但也涉及到相关的证券、贸易以及工资管理公司。


赛门铁克发现所有受到影响的公司电脑都运行有财务软件应用程序,表明该团伙有窃取财务的动机。


Odinaff 通过恶意文档传播


赛门铁克表示攻击者使用鱼叉式网络钓鱼电子邮件进行传播,邮件中包含恶意的word文档。


据研究人员了解,这些文档能够帮助攻击者安装Odinaff恶意软件。


研究人员表示该木马的主要目的是获取受感染计算机的特权,随后在电脑中下载其他的恶意软件,从而实行更加复杂的攻击。


赛门铁克观察到Odinaff 下载的恶意软件包括Mimikatz密码抓取应用、PsExec程序执行工具包、Netscan网络扫描器、Ammyy管理员远程桌面工具、以及Runas。


Odinaff的基础设施和之前的Carbanak攻击有关


有些情况下,Odinaff会下载此前Carbanak攻击中所部署的工具Batel后门木马。


除了Batel,赛门铁克表示Odinaff使用的三个C&C服务器IP地址与之前的Carbanak攻击连接。另外,一个IP地址和最近的甲骨文MICROS安全漏洞事件相关,这也是Carbanak团伙所为。


Odinaff被用于SWIFT攻击


除了部署在银行和金融公司的正常财务软件,Odinaff还出现在高度敏感的银行间交易系统SWIFT,这是一个银行配备高级别安全防御措施的IT系统。


“赛门铁克已经找到相关证据证明Odinaff团伙已经攻击了SWIFT用户,使用恶意软件隐藏欺诈交易的SWIFT消息。”研究人员表示,“这款工具用于监视用户某些交易的本地消息日志关键字。随后可以将这些日志从用户的本地SWIFT软件环境移除。”


不过个体用户可以松一口气,因为这款软件的攻击目标仅仅是银行及其员工,并不是普通客户。


代码卫士

codesafe.cn

长按二维码,关注“代码卫士

您的专属代码体检专家

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存