威脅趨勢預警：Carbanak網路犯罪團伙開始瞄準酒店和餐飲業

臭名昭著的Carbanak犯罪團伙正轉變攻擊方向，集中火力瞄準酒店和餐飲行業。

2015年曾發生過一系列的針對金融機構的網路惡意攻擊活動，但其中沒有一件比Carbanak犯罪團伙的活動來得更為大膽創新。該犯罪團伙瞄準了超過30個國家的100多家銀行及其他金融機構，竊取的金額或可能高達10億美元。但目前這一臭名昭著的犯罪團伙轉變了攻擊策略，開始集中火力攻擊酒店和餐飲行業。

Trustwave公司報告稱：

「上個月公司分別收到兩家服務業客戶和一家連鎖餐飲客戶的委託，調查一起未知的黑客攻擊事件。調查發現，三起攻擊的作案手法十分類似，像是來自Carbanak團伙的攻擊方法，只是現在他們把目標集中到了服務業」。

Trustwave公司的網路安全專家提到，從上周起，Carbanak團伙開始採用新的技術和惡意軟體實施攻擊。他們對服務業人士發起魚叉式釣魚網路攻擊，誘導受害者閱讀含有惡意宏文件的釣魚郵件。

Trustwave安全公司觀察到，攻擊者會通過電話告訴客戶，其在線服務出現了問題，然後說會就有關問題發送電子郵件。客戶打開郵件里的附件之前，黑客會一直在線，當受害者打開惡意信息後黑客會立馬掛掉電話。

對Carbanak的分析報告指出：

「郵件的附件是一個包含加密.VBS腳本的word文檔，能夠竊取系統信息，桌面截圖以及下載其他惡意軟體。該惡意VB腳本還會使用宏來搜索系統上的Microsoft word文檔，一旦發現文檔就會立即清空現有文檔，代替成下面的文本內容。」

首先，在第一階段的攻擊中黑客會下載一款惡意軟體作為偵查工具，它可以下載主流的黑客工具，包括：Nmap, FreeRDP, NCat和NPing。

隨後，還會下載額外的有效載荷進行下一階段的攻擊。

攻擊者最終的目標是從受感染設備內存中挖掘敏感信息和信用卡數據等，被感染的設備上會有重新編譯過的Carbanak惡意軟體，這個惡意軟體難以被檢測出來，並且它會從PST文件中竊取信用卡信息、屏幕快照、鍵盤記錄器信息、郵箱地址，授權RDP、VNC進程，或者獲取其他系統信息。

為了獲取受害者設備的全部控制權，這個惡意軟體會在設備上建立後門。通過443埠上的一個加密通道和如下所列的IP地址進行通信：

5.45.179.173

92.215.45.94

所有竊取信息均採用base64+RC2加密，並通過HTTP POST發送消息。

新一輪的攻擊大約開始於6個星期前，Trustwave公司已經發布了一系列新的「攻擊指標（indicators of compromise）」，能夠幫助管理人員和安全專家發現威脅。

Trustwave報告的結論稱：

「這次攻擊的持久性，專業性，普遍性都是Trustwave公司所罕見的，他們使用的惡意軟體也非常具有多面性，大多數（或者說沒有）防病毒引擎都無法檢測出這些惡意軟體。社會工程也具有高度針對性，通過電話誘騙受害者的黑客具備優秀的英語表達技能。此外，網路偵察和橫向運動也是迅速和高效的。最後，數據過濾方法隱藏性高，效率高。」

事實上，像Carbanak團伙這樣改變攻擊目標開始針對餐飲服務業，說明攻擊者們獲利的行業方向已經發生了明顯的變化。

其實，這也已經不是黑客團伙第一次將目標瞄準服務業了。2014年11月，Kasperky就發現了一支自稱「Darkhotel」的黑客組織，通過酒店網路系統來攻擊在亞洲出差的企業高管。Darkhotel活動至少持續了四年，針對選定企業的出差高管人員。據安全專家所言，這些犯罪分子的目標是竊取奢侈酒店住戶的敏感數據。這些攻擊者展現了極為高超的技能，能夠過濾數據並抹去他們的活動痕迹。

* 參考來源：securityaffairs，米雪兒編譯，轉載請註明來自FreeBuf.COM

※SpaceX的全球衛星寬頻網路Starlink 已提交商標申請
※Apple Watch Series 3蜂窩網路版開箱初體驗：功能OK，服務未完善
※Riverbed收購Xirrus 進軍涵括Wi –Fi的軟體定義廣域網路
※MockNet：Android 網路介面開發與測試神器
※DCOS中的容器網路與IP-per-container解決方案
※《社交網路》：Nerd的成長史，Facebook的創業精神
※Silicon Labs Bluetooth網狀網路解決方案幫助IoT開發人員將產品上市時間縮短六個月
※網路間諜BlackTech利用安全公司被泄黑客工具攻擊亞洲目標
※Facebook的免費網路服務 Free Basics，被指責是在進行「數字殖民」
※除了繼續在網路爆紅，Rae Sremmurd 可能要開始做 Techno 了
※Extreme Networks證實了收購Avaya網路業務的消息
※使用Docker的macvlan為容器提供的橋接網路
※Aquantia推出AQtion網路介面卡為高性能電腦和專業工作站
※孫劍團隊提出移動端神經網路ShuffleNet，優於谷歌MobileNet
※WannaCry肆虐全球互聯網 網路運維敲警鐘
※PhEmail：基於Python的開源網路釣魚測試工具
※Sprint和Verizon網路中斷 Twitter網友發文引關注
※國內Apple Watch Series 3蜂窩網路服務跳票
※無線網路嗅探中的Radiotap