“隐形”基于内存的恶意软件达到140多个银行,电信和政府机构
网络犯罪分子袭击了40多个国家,其中隐藏恶意软件窃取了密码和财务数据。在硬盘驱动器上没有找到恶意软件,因为它隐藏在受损计算机的内存中,使其几乎是“不可见的”作为犯罪分子exfiltrate系统管理员的凭据和其他敏感数据。重新启动目标机器时,几乎所有恶意软件的痕迹都消失了。
根据卡巴斯基实验室的说法,超过140多家企业网络 - 银行,政府组织和电信公司 - 从40个国家受到了兴趣。网络犯罪分子正在使用以前由国家攻击者使用的方法和复杂的恶意软件。
美国是最具针对性的国家,其中有21个隐藏恶意软件攻击,其次是法国的10次攻击,厄瓜多尔九九,肯尼亚八,英国和俄罗斯七。
卡巴斯基实验室因为恶意软件在重新启动后藏起来隐藏起来,而且Poofs,感染的数量可能要高得多。
Kaspersky Lab的Kurt Baumgartner告诉Ars Technica,Kaspersky Lab的Kurt Baumgartner告诉Ars Technica,“袭击正在全局抵御银行本身。”“在许多情况下,银行还没有充分准备这一点。”攻击者是“瞄准自动柜员机的计算机”,以便将“从银行内部推出银行的钱”。
[评论这个故事,请访问Computerworld的Facebook页面。]攻击者已经接受了反锐利的技术来避免检测;加载到RAM而不是硬盘驱动器的恶意软件有助于将其保留为未被发现,因为数据被盗并且系统正在远程控制。攻击者使用了没有WHOIS信息的过期域。通过使用开源和合法的工具,网络犯罪分子正在归因于几乎不可能。
卡巴斯基实验室来自卡巴斯基实验室的研究人员首先了解了一家银行遭到攻击后的“无线”恶意软件,并帮助您有助于法医分析。该银行在服务器的内存中找到了计量码代码; MeterPreter不应该处于域控制器的物理内存中。研究人员挖掘更深入,了解到代码已使用PowerShell命令注入内存。PowerShell脚本隐藏在Windows注册表中。
攻击者使用Mimikatz,Kaspersky Lab表示,从具有管理权限和NetSH的帐户中获取凭据,并将被盗数据发送回他们的服务器。
目前不清楚攻击者是否是一个组,或者几个组使用相同的工具。“鉴于攻击者使用Metasploit框架,标准Windows实用程序和未知域,没有Whois信息,这几乎不可能,”Kaspersky Lab写道。然而,研究人员指出,GCMAN和CARBANAK组织使用了类似的技术。
卡巴斯基实验室将透露有关该攻击的更多细节,以及网络犯罪分子在4月份安全分析师峰会的峰会中如何从ATMS退出金钱。
目前,卡巴斯基已列出妥协指标; “仅在RAM,网络和注册表中检测到这种攻击。”清除受感染的机器后,必须更改所有密码。“这次攻击显示如何在网络中成功举行网络以及标准和开源公用事业如何使归因几乎不可能进行归因。”
