更多全球網絡安全資訊盡在E安全官網www.easyaq.com
E安全10月15日訊 臺灣遠東國際商業銀行(Far Eastern International Bank)近日披露,其電腦系統遭黑客入侵遠端操控轉帳。網絡犯罪分子設法將6000萬美元匯往斯裡蘭卡、柬埔寨和美國等地。斯裡蘭卡近日有報導稱,錫蘭銀行(Bank of Ceylon)提供情報稱嫌犯從遠東國際商業銀行轉移120萬美元,此後兩名洗錢嫌犯被捕。
10月7日,遠東國際商業銀行稱追回大部分資金,預計總損失達到50萬美元(約合329萬元)。
McAfee發布博文分析攻擊過程。 McAfee收到的初步情報顯示,黑客首先通過魚叉式網絡釣魚攻擊向受害者傳送「後門」附件。
下圖為一些魚叉式網絡釣魚附件截圖:
受害者點擊連結會被重定向至惡意網站將其它文件下載到受害者電腦,其中一個惡意文件網站的域名:hxxps://jobsbankbd.com/maliciousfilename.exe,這個網站託管著另一個後門,為犯罪分子提供受害者銀行系統的訪問權。研究人員的初步分析表明,攻擊者獲取了登錄憑證,這一點可在包含遠東國際商業銀行憑證的樣本得以證實:
FEIB\SPUSER14
FEIB\scomadmin
這些憑證用於在系統上創建預定任務並監控端點安全服務的運行情況(這並不表示安全軟體存在問題)。McAfee通知了安全提供商,並提供了所有研究結果。
除了預定任務和憑證,研究人員發現另一串代碼。樣本內包含「IMAGE」(似乎是一個zip文件)。研究人員提取後發現文件aa.txt——看似是一個文本文件,然而實際上卻是可執行文件。
文件包含掃描安裝語言的代碼,尤其以下語言:
419 (俄語)
422 (烏克蘭語)
423 (白俄羅斯語)
若檢測到上述語言,文件將不會運行。研究人員曾在勒索軟體家族中發現此類行徑。
分析該文件的字符串後,研究人員發現以下信息:
經證明,文件執行後表現為勒索軟體,但並未顯示勒索信。文件完成運行後,桌面會出現以下內容:
這個偽勒索軟體最終顯示畫面
每個目錄下的文件如下:
原Hermes勒索信指向這個文件,但研究人員未發現勒索信或贖金。今年二月浮出水面的Hermes勒索軟體家族顯示的勒索信如下圖:
因此,研究人員懷疑這個文件是偽勒索軟體,他們認為黑客利用Hermes掩蓋這起攻擊的真實意圖。
研究人員稱,很顯然這是一起精心策劃的針對性攻擊。攻擊者確定了網絡釣魚電子郵件的具體目標,並了解銀行系統部署的安全措施。
研究人員警告稱,犯罪分子肯花時間了解銀行的運作方式,並開發軟體盜竊巨款。
註:本文由E安全編譯報導,轉載請註明原文地址
https://www.easyaq.com/news/1960516517.shtml
▼點擊「閱讀原文」 查看更多精彩內容