前沿技术

33期报告汇总

安天发布《首起利用网络蠕虫的APT攻击——BuhtrapWorm》
 
       近日,安天追影小组发现了一起利用网络蠕虫针对银行的APT攻击,从2015年8月到2016年2月为止,黑客组织Buhtrap针对俄罗斯银行成功发起了13次攻击,共计窃取资金18亿卢布(约合2740美元),最多的一次窃取了6亿卢布(约合880万美元),最少的一次也高达2560万卢布(约合37万美元),这还并未包括对乌克兰的攻击造成的损失。

       据调查,Buhtrap早期与大多数黑客组织一样,使用邮件钓鱼、检查系统环境、创建远程连接的方式来实现攻击。但近期,新型的Buhtrap被曝光,它通过网络蠕虫的方式来感染整个内部网络,这种方法有效地增加了从网络终端删除恶意程序的难度。

       在感染一台新的计算机之后,恶意软件会用相同的方式进行传播。如果公司内部网络中出现了一台被BuhtrapWorm感染的机器,其他所有计算机都会被反复感染。因此,仅仅只需要几分钟,它就可以在企业内部创建一个僵尸网络。

       具体的攻击步骤如下:

       1. 初始入侵公司内部网络后,攻击者使用远程控制软件安装和启动主模块,该模块负责为木马提供生存能力和银行内部主机的多重感染。
       2. 黑客采用改良版的Mimiikatz来收集域账户凭据。
       3. 恶意软件搜索安装了AWS CBC软件的系统。
       4. 一旦得以访问AWS CBC ,该恶意软件就伪造付款单据发送给中央银行。
       5. 感染导致银行的基础工作站瘫痪,无法从中搜索相关证据。

       目前的杀毒软件只能检测launcher本身是没有威胁的,此外Buhtrap删除文件时并不会删除恶意文件,因此恶意软件会大量存储在受感染的主机中。

       2016年2月5日,Buhtrap源码在地下论坛“exploit.in”被公布,作者声称自己是Buhtrap一员,但是没有得到开发报酬,因此决定公布恶意软件的所有源码。Buthtrap的开源必定会导致更多相似恶意程序的诞生以及更多类似攻击事件的发生,安天提醒相关机构要注意防范,在发现异常的第一时间将情况交由专业安全人员处理。


按访问者
政府
运营商
金融
能源
合作伙伴
新闻媒体
求职者
关于我们
公司概况
工作机会
大事记
部分客户
公司荣誉
诚聘英才
常用链接
产品综述
终端侧安全
威胁深度鉴定
引擎类
态势感知
威胁响应
公告与报告
服务与支持
服务与支持
软件升级
售后服务
安全培训服务
安全技术服务