新闻快讯
< >

黑客是如何入侵中国台湾远东国际商业银行的?

E安全10月15日讯 台湾远东国际商业银行(Far Eastern International Bank)近日披露,其电脑系统遭黑客入侵远端操控转账。网络犯罪分子设法将6000万美元汇往斯里兰卡、柬埔寨和美国等地。斯里兰卡近日有报道称,锡兰银行(Bank of Ceylon)提供情报称嫌犯从远东国际商业银行转移120万美元,此后两名洗钱嫌犯被捕。

10月7日,远东国际商业银行称追回大部分资金,预计总损失达到50万美元(约合329万元)。

攻击如何实施?

McAfee发布博文分析攻击过程。 McAfee收到的初步情报显示,黑客首先通过鱼叉式网络钓鱼攻击向受害者传送“后门”附件。

下图为一些鱼叉式网络钓鱼附件截图:

伪勒索软件入侵台湾远东国际商业银行攻击者身份神秘-E安全

伪勒索软件入侵台湾远东国际商业银行攻击者身份神秘-E安全

受害者点击链接会被重定向至恶意网站将其它文件下载到受害者电脑,其中一个文件为:hxxps://jobsbankbd.com/maliciousfilename.exe。这个网站托管着另一个后门,为犯罪分子提供受害者银行系统的访问权。研究人员的初步分析表明,攻击者获取了登录凭证,这一点可在包含远东国际商业银行凭证的样本得以证实:

  • FEIB\SPUSER14

  • FEIB\scomadmin

这些凭证用于在系统上创建预定任务并监控端点安全服务的运行情况(这并不表示安全软件存在问题)。McAfee通知了安全提供商,并提供了所有研究结果。

攻击者到底是谁?

除了预定任务和凭证,研究人员发现另一串代码。样本内包含“IMAGE”(似乎是一个zip文件)。研究人员提取后发现文件aa.txt——看似是一个文本文件,然而实际上却是可执行文件。

文件包含扫描安装语言的代码,尤其以下语言:

  • 419 (俄语)

  • 422 (乌克兰语)

  • 423 (白俄罗斯语)

若检测到上述语言,文件将不会运行。研究人员曾在勒索软件家族中发现此类行径。

分析该文件的字符串后,研究人员发现以下信息:

  • HERMES 2.1 TEST BUILD, press ok

  • HERMES

经证明,文件执行后表现为勒索软件,但并未显示勒索信。文件完成运行后,桌面会出现以下内容:

伪勒索软件入侵台湾远东国际商业银行攻击者身份神秘-E安全

这个伪勒索软件最终显示画面

每个目录下的文件如下:

伪勒索软件入侵台湾远东国际商业银行攻击者身份神秘-E安全

原Hermes勒索信指向这个文件,但研究人员未发现勒索信或赎金。今年二月浮出水面的Hermes勒索软件家族显示的勒索信如下图:

伪勒索软件入侵台湾远东国际商业银行攻击者身份神秘-E安全

因此,研究人员怀疑这个文件是伪勒索软件,他们认为黑客利用Hermes掩盖这起攻击的真实意图。

研究人员称,很显然这是一起精心策划的针对性攻击。攻击者确定了网络钓鱼电子邮件的具体目标,并了解银行系统部署的安全措施。

研究人员警告称,犯罪分子肯花时间了解银行的运作方式,并开发软件盗窃巨款。

相关阅读:

攻击中国台湾远东银行的黑客已抓到两人

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。