据外媒报道,世界上最危险的恶意软件之一Carbanak的源代码已经在VirusTotal上发布了两年,但几乎无人知晓,甚至连安全公司都没有注意到。
最终, 美国网络安全公司FireEye的安全研究人员发现了Carbanak,且官网上已发布了博客文章,将详细地分析Carbanak源代码,网络安全社区可进行学习。
博客文章地址:
https://www.fireeye.com/blog/threat-research/2019/04/carbanak-week-part-one-a-rare-occurrence.html
Carbanak恶意软件是一个后门木马,是黑客组织FIN7的作品,FIN7也被称为Carbanak、Anunak或Cobalt组织。 FIN7是迄今为止世界上最危险、最多产的黑客组织之一,专门对银行和金融机构进行黑客攻击,涉案金额超过10亿欧元。
以下是FIN7组织这些年来的活动:
2013-2014年,开发了Anunak恶意软件,主要针对金融机构和ATM网络。
2014-2016年,开发了比Anunak更先进和复杂的Carbanak恶意软件。
2016-2017年,使用一个合法的渗透测试神器Cobalt Strike开发了自定义恶意软件。
Carbanak后门是该组织的第二代恶意软件,为入侵银行网络的主要工具。 FIN7通常通过银行员工感染Carbanak恶意软件,进入银行敏感系统。
多年来,受命调查FIN7攻击的安全研究人员大多都已经掌握了Carbanak恶意软件,但拥有的只是编译版本,很难深入分析和完全理解。
然而,情况在2019年4月发生了变化,FireEye安全研究员Nick Carr在恶意软件扫描门户网站VirusTotal上发现了两份文件,其中包含了Carbanak的源代码。 Carbanak源代码为20MB,包含755个文件。
这两个文件是从俄罗斯的一个IP地址中上传的, 虽然该组织已经改用基于Cobalt Strike的恶意软件工具,但是还是能帮助研究人员更好地理解FIN7的恶意软件。
Carr表示,这两份文件包含了恶意软件的全部源代码,以及之前从未见过的插件,代码超10万行。
2018年7月,有消息称Carbanak代码在现已关闭的Mal3all黑客论坛上被泄露,但经证实是假消息。经过进一步的分析,2018年7月泄露的源代码是RatoPak恶意软件的代码,属于Corkow组织,这是另一个网络犯罪组织,目标同样也是银行,且其运作模式与Carbanak在2014年建立的模式相同。
如今,FIN7组织已不复存在。 2018年3月, 欧洲刑警组织在西班牙逮捕了该团伙的头目,同年8月,乌克兰警方逮捕了三名嫌疑人。
不过FIN7的其他成员并没有就此放弃。 来自网络安全行业的多个消息称,FIN7组织似乎已经分裂成更小的团伙,且仍然以银行业为目标。
声明:本文来自E安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
