银行大盗Carbanak源代码公布两年无人知?

据外媒报道,世界上最危险的恶意软件之一Carbanak的源代码已经在VirusTotal上发布了两年,但几乎无人知晓,甚至连安全公司都没有注意到。



最终,美国网络安全公司FireEye的安全研究人员发现了Carbanak,且官网上已发布了博客文章,将详细地分析Carbanak源代码,网络安全社区可进行学习。


博客文章地址:

https://www.fireeye.com/blog/threat-research/2019/04/carbanak-week-part-one-a-rare-occurrence.html                      



Carbanak恶意软件是一个后门木马,是黑客组织FIN7的作品,FIN7也被称为Carbanak,Anunak或Cobalt组织。FIN7是迄今为止世界上最危险、最多产的黑客组织之一,专门对银行和金融机构进行黑客攻击,涉案金额超过10亿欧元。

以下是FIN7组织这些年来的活动:


2013-2014年,开发了Anunak恶意软件,主要针对金融机构和ATM网络。

2014-2016年,开发了比Anunak更先进和复杂的Carbanak恶意软件。

2016-2017年,使用一个合法的渗透测试神器Cobalt Strike开发了自定义恶意软件。 


Carbanak后门是该组织的第二代恶意软件,为入侵银行网络的主要工具。FIN7通常通过银行员工感染Carbanak恶意软件,进入银行敏感系统。

多年来,受命调查FIN7攻击的安全研究人员大多都已经掌握了Carbanak恶意软件,但拥有的只是编译版本,很难深入分析和完全理解。

然而,情况在2019年4月发生了变化,FireEye安全研究员Nick Carr在恶意软件扫描门户网站VirusTotal上发现了两份文件,其中包含了Carbanak的源代码。Carbanak源代码为20MB,包含755个文件。

这两个文件是从俄罗斯的一个IP地址中上传的,虽然该组织已经改用基于Cobalt Strike的恶意软件工具,但是还是能帮助研究人员更好地理解FIN7的恶意软件。

Carr表示,这两份文件包含了恶意软件的全部源代码,以及之前从未见过的插件,代码超10万行。


2018年7月,有消息称Carbanak代码在现已关闭的Mal3all黑客论坛上被泄露,但经证实是假消息。经过进一步的分析,2018年7月泄露的源代码是RatoPak恶意软件的代码,属于Corkow组织,这是另一个网络犯罪组织,目标同样也是银行,且其运作模式与Carbanak在2014年建立的模式相同。

如今,FIN7组织已不复存在。2018年3月,欧洲刑警组织在西班牙逮捕了该团伙的头目,同年8月,乌克兰警方逮捕了三名嫌疑人。

不过FIN7的其他成员并没有就此放弃。来自网络安全行业的多个消息称,FIN7组织似乎已经分裂成更小的团伙,且仍然以银行业为目标。

发表评论 取消回复

电子邮件地址不会被公开。 必填项已用*标注