朝鲜“隐匿的眼镜蛇 (Hidden Cobra)”或 Lazarus 黑客组织目前正在通过一种新的且“具侵略性”的攻击手法攻击土耳其金融系统。他们使用的这种攻击手法和此前针对全球SWIFT 金融网络的手法类似。
利用 Flash 漏洞攻击土耳其金融机构
McAfee 公司的高级分析师 Ryan Sherstobitoff 表示,这次行动主要是通过针对性鱼叉式钓鱼攻击(恶意 Word 文档中包含内嵌式 Flash 利用代码)获得对具体土耳其金融组织机构的访问权限。这个 Flash 漏洞在2018年1月才出现,但朝鲜黑客组织被指在2017年11月中旬就已开始利用该漏洞。Adobe 公司虽然在一周内就修复该漏洞,但尚未更新至最新 Flash 版本的计算机仍然易受攻击。
McAfee 公司在报告中指出,攻击发生于3月2日和3日,受害者包括一个政府金融组织机构、一家金融和贸易政府组织机构和三家大型金融组织机构。在攻击中,这个 Flash 利用代码释放了 Bankshot 植入木马,可导致攻击者完全控制受害者网络。
US-CERT 于2017年12月发布了一份关于 Bankshot 恶意软件的分析报告,指出“隐匿眼镜蛇”黑客组织使用了 Bankshot。McAfee 表示所分析的变体“和2017年记录的 Bankshot 变体存在99%的相似度。”
在鱼叉式钓鱼攻击中,Bankshot 植入和文件名为 “Agreement.docx” 的 Word 文档之间存在关联。它伪装成比特币发布的一份协议模板。协议一旦遭激活,恶意 DLL 就会从 falcancoin.io 网站上被下载。这个域名和合法的密币借贷平台 Falcon Coin 的域名非常像。
这些 DLL 和三个控制服务器(域名硬编码在植入的代码中)进行通信,其中两个是中文在线赌博网站。从这台控制服务器上接收到的响应来看,这款恶意软件能执行一系列围绕收集系统数据和控制系统进程的恶意任务。它还包含两种能够擦除存在证据和其它破坏性动作的文件删除方式。每次执行完动作后,这款恶意软件还会向这台控制服务器发送响应,以便确认动作是否成功执行。
攻击和 Lazarus 组织之间存在强关联
“隐匿的眼镜蛇”和针对金融组织机构的多起攻击活动之间存在关联。研究人员指出,该植入和一起针对韩国大型银行的攻击之间存在关联,这个植入也被称为 “Trojan Manuscript”。该变体能够搜索和 SWIFT 网络相关和与针对土耳其金融机构的变体具有相同控制服务器字符串的主机。
朝鲜攻击者被指是在2015/2016年攻击 SWIFT 网络的幕后黑手。目前尚不存在证据表明,这个版本旨在开展金融交易,而是进入受害者环境的一个信道,在这个环境中,可部署更多植入阶段从而进行金融侦察活动。
McAfee 坚信已经发现了针对土耳其金融机构的“隐匿的眼镜蛇”组织的新型攻击活动。2月份,韩国平昌冬奥会遭受攻击,很多评论人员认为幕后黑手是朝鲜。但卡巴斯基实验室最近发布报告认为平昌奥运会的幕后黑手是俄罗斯黑客组织 APT28。很有可能这次 APT28 是出于报复栽赃朝鲜黑客。
鉴于“伪旗”网络攻击的频繁出现,McAfee 公司也表示严肃对待攻击归属性问题。该公司表示,虽然私营部门很少能在未访问政府和执法部门机构能访问的同样资源,但该公司认为鉴于恶意文件中存在的代码和目标相似之处以及以前被美国政府公开归咎于“隐匿的眼镜蛇”组织的攻击活动,都强烈说明是朝鲜组织所为。
McAfee 公司表示,现在发现的情况可能是针对土耳其及其它国家金融机构的攻击的早期数据收集阶段。该公司告警称使用未修复 Flash 版本的用户遭攻击的可能性很大。