Odinaff：一個專門針對銀行業的木馬

近日，賽門鐵克發現一種新型木馬，主要針對與Carbanak相關的銀行機構，Carbanak是一個網路犯罪團伙，在2013和2014年間共計從30多個國家的100多個銀行盜取超過10億美元的資金。

Carbanak組織是由來自亞洲和歐洲等多個國家的黑客所組成的，其攻擊目標一直都是銀行，金融機構，軟體銷售企業，以及專業服務公司中的高層管理人員。已知的攻擊行動最早可追溯到2013年年底，攻擊者利用一種名為「Carbanak」的惡意軟體成功入侵了大約30個國家的超過100家金融企業。

下面列出了部分與Carbanak有關的攻擊活動：

1. 針對中東國家，美國，以及歐洲等多個地區的金融公司進行攻擊。受攻擊的用戶主要是金融機構中的高層管理人員和決策人員。

2. 利用網路釣魚郵件傳播惡意URL地址，包含有惡意宏的文件，以及能夠觸發軟體漏洞的文件。

3. 利用Spy.Sekur（Carbanak惡意軟體）和一些其他的惡意軟體來遠程獲取木馬病毒，例如jRAT，Netwire，Cybergate等等。

這款名為「Odinaff」的新型木馬最初確定於2016年1月，主要用於攻擊銀行業，其他的也包括證券、貿易、薪酬等金融垂直領域。

【Odinaff木馬數據展示】

但是，賽門鐵克公司表示，他們在活躍於各領域的電腦上都發現了該類型木馬，這些電腦的一個共同特徵就是運行了金融相關的軟體程序，這也意味著該網路犯罪團伙具有強烈的金融攻擊偏好。

賽門鐵克研究人員表示，攻擊者使用魚叉式網路釣魚攻擊的手段，針對選定的受害者發送精心設計的含有惡意Word文檔的電子郵件。

一旦目標受害者點擊惡意文檔，就會下載安裝Odinaff惡意軟體，根據賽門鐵克研究人員的說法，Odinaff是一個相對簡單的工具。

研究人員表示，Odinaff木馬的主要目的是紮根在受感染的計算機中，獲取持久的boot功能，隨後再下載其他惡意軟體以催化更複雜的攻擊行為。

賽門鐵克研究人員通過觀察發現，Odinaff 下載的工具包括Mimikatz密碼獲取應用，PsExec程序執行工具包，Netscan網路掃描儀，Ammyy管理遠程桌面工具，以及Runas，一個允許用戶用其他許可權運行指定程序的工具。

賽門鐵克表示，在一些情況下， Odinaff 會下載Batel 後門木馬，而Batel木馬是之前Carbanak組織在過去的攻擊活動中常用的工具。

除Batel木馬外，賽門鐵克還發現Odinaff 使用的三個 C&C伺服器IP地址也與之前的Carbanak攻擊活動相關。此外，其中一個IP地址還與此前Carbanak團伙針對OracleMICROS安全漏洞發起的攻擊相關，

除了常規的部署在銀行和金融公司的金融軟體外，Odinaff還被發現用於攻擊高度敏感的SWIFT國際銀行交易系統，SWIFT是一個銀行業必須採取高級安全防禦措施進行維護的IT系統。

研究人員表示：「賽門鐵克已經發現證據表明Odinaff犯罪團伙已經針對SWIFT用戶發起攻擊，通過惡意軟體隱藏用戶自己真實的SWIFT信息記錄，呈現其虛假的交易記錄。該工具主要用於監視客戶的本地消息日誌，通過捕捉有關特定交易的關鍵字。隨後將這些日誌從客戶的本地SWIFT軟體環境中移除。」n

雖然Odinaff木馬中包含自定義的C-coded模式來隱藏非法的SWIFT銀行交易，但是賽門鐵克公司並不認為最近發生的針對SWIFT系統攻擊浪潮與之有關。

那些針對SWIFT系統的攻擊事件是一支名為「Lazarus」小組的黑客所為，使用的惡意軟體名為「Banswift」。雖然兩個惡意軟體的攻擊目標同為SWIFT系統，但是並未發現Banswift與Odinaff分享任何代碼。

最後，值得欣慰的是，這款新型的惡意軟體的攻擊目標只有銀行系統及其員工，而不包含其客戶，所以用戶們可以稍微鬆口氣了。

註：本文參考來源於softpedia

推薦閱讀：