利用合法证书签名的恶意软件攻陷俄罗斯金融企业


发布人:admin分类:网络安全浏览量:23发布时间:2017-12-12

安全研究人员发现一个活跃时间已超过一年且很可能以经济利益为目的的恶意活动,利用复杂的感染技巧攻陷了属于俄罗斯及乌克兰金融企业的计算机系统。这些攻击者使用定制工具检查存储在被感染机器上的信息,并利用错综复杂的技巧及合法代码签名证书躲避检测。

间谍软件安装在被攻陷系统中

ESET的安全研究人员将这款恶意软件命名为Buhtrap,并认为这些恶意活动主要关注企业的财务会计部门,原因是所使用的恶意软件包括这些部门软件及银行APP的参考资料。此外,一些用来与威胁通信的命令及控制(C&C)服务器与会计论坛域名类似。

首先,攻击者发送了一份来自俄罗斯一家主要移动运营商MegaFon的发票或合同word文档。一旦计算机被攻陷,黑客可远程控制并通过键盘登录及剪贴板窃取模块记录用户行为。同时,这款恶意软件还具有文件下载及执行功能,允许入侵者添加威胁以扩展对机器的控制或者转移到网络中的另外一台机器上。

下载正常的软件伪装以躲避检测



为躲避检测,黑客利用一个有效证书(共四个)对恶意组件进行签名。这些证书属于莫斯科公司(Stroi-Tekh-Sever、 Flash、OOO “Techcom” 、及Torg-Group)。研究人员认为这些证书是偷盗而来并已通知相关公司予以撤销。

此外,攻击者还从命令及控制服务器中下载正常的软件。安全研究人员指出,“我们下载的一个正常的存档中还安装了Windows Live工具栏。虽然安装软件的方式是恶意的,但最后的有效负载并非如此。这些技巧很可能是为了欺骗自动处理系统:因为下载了有效负载,系统就可能认为到此结束了。”另外,由于使用了多个恶意数据包,而且其中所包含的模块各不相同,说明这些都是针对特定目标而准备的。

与恶意活动Carbanak的类似

据统计,88%的受害者来自俄罗斯,仅有10%来自乌克兰,其余的2%身份不明。研究人员指出,所有的证据表明,Buhtrap发动的是有针对性的攻击,而且与Anunak/Carbanak恶意活动方式类似。

尽管所使用的工具并不新鲜,但Buhtrap与安全研究人员之前发现的恶意软件活动并不相同,它可能会为其它攻击者提供一种新型且更聪明的攻击技巧。

*参考来源softpedia.com,codename2015翻译,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)


被黑站点统计 - 文章版权1、本主题所有言论和图片纯属会员个人意见,与本文章立场无关
2、本站所有主题由该文章作者发表,该文章作者与被黑站点统计享有文章相关版权
3、其他单位或个人使用、转载或引用本文时必须同时征得该文章作者和被黑站点统计的同意
4、文章作者须承担一切因本文发表而直接或间接导致的民事或刑事法律责任
5、本帖部分内容转载自其它媒体,但并不代表本站赞同其观点和对其真实性负责
6、如本帖侵犯到任何版权问题,请立即告知本站,本站将及时予与删除并致以最深的歉意
7、被黑站点统计管理员有权不事先通知发贴者而删除本文

免责声明

本站主要通过网络搜集国内被黑网站信息,统计分析数据,为部署安全型网络提供强有力的依据.本站所有工作人员均不参与黑站,挂马或赢利性行为,所有数据均为网民提供,提交者不一定是黑站人,所有提交采取不记名,先提交先审核的方式,如有任何疑问请及时与我们联系.

admin  的文章


微信公众号

微信公众号


Copyright © 2012-2022被黑网站统计系统All Rights Reserved
页面总访问量:21231186(PV) 页面执行时间:101.064(MS)
  • xml
  • 网站地图