查看原文
其他

银行大盗Carbanak“武器库”新后门:“Bateleur”

2017-08-07 E安全编辑部 E安全

关注E安全 关注网络安全一手资讯

E安全8月7日讯 安全公司Proofpoint的安全研究人员表示,臭名昭著的网络犯罪团伙Carbanak(又名FIN7)携新Jscript后门“Bateleur”,并使用更新的宏卷土重来,瞄准新目标。

 Carbanak犯罪团伙种种劣迹


卡巴斯基实验室2015年首次发现Carbanak犯罪团伙。该团伙已窃取了100家金融机构超过3亿美元。

2016年年初,Carbanak主要针对美国和中东的银行和金融机构发起攻击。

2016年11月,Trustwave专家发现该组织针对酒店行业的组织机构发起新一轮攻击。

今年一月,Carbanak开始利用Google服务进行命令与控制(C&C)通信。

该团伙使用“ggldr”脚本发送并接收Google Apps Scrip、Google Sheets和Google Forms服务的收、发命令。

这群黑客曾为每个被感染的用户创建唯一的Google Sheets 电子表格,以此避免检测。

今年5月,Trustwave研究人员发现该团伙使用新的社会工程和网络钓鱼攻击技术,包括使用隐藏的快捷方式文件(LNK文件)攻击目标。而如今,该团伙开始使用新的宏和Bateleur后门攻击美国连锁餐厅。

Carbanak再掀波澜

Proofpoint发布的分析指出,Proofpoint研究人员发现威胁攻击者FIN7添Jscript后门Bateleur和更新的宏。Proofpoint发现该团伙使用新工具攻击美国连锁餐厅,FIN7先前曾攻击过酒店、零售商、供应商等。新的宏和Bateleur后门使用复杂的反分析和沙盒逃逸技术,以此隐藏活动,并扩大受害者范围。

Carbanak犯罪团伙开始使用宏文档丢下Bateleur,而非过去使用的GGLDR脚本,以此发送并接收Google Apps Script、Google Sheets和Google Forms服务的收、发命令。

专家注意到,Carbanak自6月以来对宏和Bateleur更新了数次。

攻击者使用简单有效的电子邮件攻击连锁餐厅,如果电子邮件来自Outlook.com账号,文本声称“此文档由Outlook Protect Service加密”;如果使用Gmail账号发送,诱饵文档便会声称“此文档由Google Documents Protect Service加密”。

文档中嵌入的宏会通过标题访问恶意有效载荷(Payload),之后从标题提取Bateleur,将内容保存到当前用户临时文件夹(%TMP%)中的debug.txt。接下来,宏会创建预定任务将debug.txt作为Bateleur后门执行,在删除预定任务之前,宏会休眠10秒。

Bateleur后门功能强大

Bateleur后门看起来相当复杂,同时实现了反沙盒和反分析(混淆)机制。

分析指出,这款恶意Jscript后门功能强大,其功能包括反沙盒、反分析(混淆)、检索被感染系统信息、罗列运行进程、执行自定义命令和PowerShell脚本、加载EXE和DLL文件、截图、自行卸载并更新等功能,此外,该后门还可能具备渗漏密码的能力,而渗漏密码需要命令与控制(C&C)服务器的附加模块。

安全研究人员指出,虽然Bateleur留下的痕迹虽然比GGLDR/HALFBAKED少很多,但Bateleur缺乏基本功能,例如在C&C协议中编码,缺乏备份C&C服务器。安全人员预计,Bateleur开发人员也许会在不久的将来新增这些功能。

Proofpoint猜测,Bateleur为FIN7/Carbanak犯罪团伙所用。

Bateleur后门还使用了Tinymet Meterpreter下载器,这是Carbanak黑客组织2016年以来使用的一款工具。

Proofpoint指出,该团伙被发现至少于2016年开始将Meterpreter下载器脚本“Tinymet”作为第二阶段的有效载荷使用。 Proofpoint至少在一起实例中发现Bateleur下载相同的Tinymet Meterpreter下载器。

Carbanak仍在兴风作浪,并持续改进战术、技术和程序。

ProofPoint称会继续分析FIN7使用的战术和工具变化。Bateleur Jscript后门和新的宏文档作为该团伙的最新杰作,提供了新的感染方法、新增了隐藏活动的方式、并加强了窃取信息以及直接在受害者设备上执行命令的能力。

07
E安全推荐文章

官网:www.easyaq.com

2017年8月

01新型Ursnif银行木马:添加鼠标移动反检测技术
02TrickBot银行木马再度来袭 这次将影响24个国家
03网络钓鱼热门趋势:中国的银行成为主要攻击目标
04比特币勒索盯上了韩国7家银行
05Tata开发人员将多家银行代码泄露至公共GitHub代码库
06加拿大银行为何拒绝使用区块链技术?
07黑客利用SS7协议漏洞窃取德国多家银行帐户资金

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存