臭名昭著的黑客组织 MoneyTaker 攻陷俄罗斯 PIR银行使用的老旧路由器,盗走约100万美元。

PIR 银行丢失存储在俄罗斯银行对应账户上存储的92万美元。俄罗斯网络安全公司Group-IB 调查后指出,经过对 PIR 银行受感染工作站和服务器的研究后,收集了“说明 MoneyTaker 偷盗的无可辩驳的数字证据”。

Group-IB 是研究 MoneyTaker 攻击技术的专家,去年12月,该公司披露了 MoneyTaker 的存在及其活动。早在2016年,专家就曾将 Group-IB 和美国、英国和俄罗斯银行和金融机构发生的资金被盗情况联系在一起。Group-IB 指出,MoneyTaker 黑客组织主要集中于渗透银行间转账和卡处理系统如 First Data STAR Network 和 AWS CBR(俄罗斯央行自动化工作站客户端)系统。

攻击经过

Group-IB 公司的研究人员指出,这次也不例外。黑客在5月末通过该银行的一个区域支行使用的一款老旧路由器渗透到 PIR 银行的网络。

专家指出,“该路由器的隧道导致攻击者能够直接访问银行的本地网络。这种技术是 MoneyTaker 组织的一个特征。该组织在攻击区域性分支银行网络时至少已使用三次这样的技术。”

黑客随后利用这款路由器通过恶意软件感染银行的本地网络,随后使用 PowerShell 脚本获得可持续性并在未被检测到的情况下执行恶意行动。

黑客终于攻陷 PIR 银行的主网之后,他们HIA获得访问 AWS CBR 账户的权限,用于控制金融交易。

7月3日,MoneyTaker 利用这个系统将存储在俄罗斯银行中 PIR 银行账户中的资金转移至提前创建的17个账户中。资金到账后,钱骡通过俄罗斯境内的 ATM 提钱。

一天之后即7月4日,PIR 银行员工发现了这起黑客事件,但为时已晚,交易已不可逆。

MoneyTaker 黑客组织一般试图从受感染计算机中清除日志隐藏行踪,但 Group-IB 表示发现该组织用于访问受攻陷计算机的反向 shell。

MoneyTaker 今年在俄罗斯多次作案

Group-IB 公司的数字取证实验室负责人 Valeriy Baulin 指出,这起事件并非2018年初 MoneyTaker 首次攻击俄罗斯银行。他们至少发现三起类似事件,但表示在调查结束前无法提供更多详情。

Group-IB 公司表示,MoneyTaker 黑客组织至少在2018年发动了两起针对俄罗斯银行的攻击。该组织的活动非常难以追踪,因为黑客倾向于使用常见的 OS 工具执行恶意活动而非通过真正的恶意软件执行。他们还会清空日志并提前研究每家银行的网络和系统,甚至盗取文档理解所处理的内容。

自2016年起,MoneyTaker 从银行偷盗数千万美元的资金。Group-IB 公司表示美国在每次事件中平均损失50万美元,俄罗斯平均损失120万美元。

MoneyTaker 过去曾黑掉15家美国银行、1家美国服务提供商、1家英国银行软件公司、5家俄罗斯银行以及1家俄罗斯律所。

本文由360代码卫士翻译自BleepingComputer

声明:本文来自代码卫士,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。