銀行大盜Carbanak「武器庫」新後門：「Bateleur」

關注E安全 關注網路安全一手資訊

E安全8月7日訊 安全公司Proofpoint的安全研究人員表示，臭名昭著的網路犯罪團伙Carbanak（又名FIN7）攜新Jscript後門「Bateleur」，並使用更新的宏捲土重來，瞄準新目標。

Carbanak犯罪團伙種種劣跡

卡巴斯基實驗室2015年首次發現Carbanak犯罪團伙。該團伙已竊取了100家金融機構超過3億美元。

2016年年初，Carbanak主要針對美國和中東的銀行和金融機構發起攻擊。

2016年11月，Trustwave專家發現該組織針對酒店行業的組織機構發起新一輪攻擊。

今年一月，Carbanak開始利用Google服務進行命令與控制（C&C）通信。

該團伙使用「ggldr」腳本發送並接收Google Apps Scrip、Google Sheets和Google Forms服務的收、發命令。

這群黑客曾為每個被感染的用戶創建唯一的Google Sheets 電子表格，以此避免檢測。

今年5月，Trustwave研究人員發現該團伙使用新的社會工程和網路釣魚攻擊技術，包括使用隱藏的快捷方式文件（LNK文件）攻擊目標。而如今，該團伙開始使用新的宏和Bateleur後門攻擊美國連鎖餐廳。

Carbanak再掀波瀾

Proofpoint發布的分析指出，Proofpoint研究人員發現威脅攻擊者FIN7添Jscript後門Bateleur和更新的宏。Proofpoint發現該團伙使用新工具攻擊美國連鎖餐廳，FIN7先前曾攻擊過酒店、零售商、供應商等。新的宏和Bateleur後門使用複雜的反分析和沙盒逃逸技術，以此隱藏活動，並擴大受害者範圍。

Carbanak犯罪團伙開始使用宏文檔丟下Bateleur，而非過去使用的GGLDR腳本，以此發送並接收Google Apps Script、Google Sheets和Google Forms服務的收、發命令。

專家注意到，Carbanak自6月以來對宏和Bateleur更新了數次。

攻擊者使用簡單有效的電子郵件攻擊連鎖餐廳，如果電子郵件來自Outlook.com賬號，文本聲稱「此文檔由Outlook Protect Service加密」；如果使用Gmail賬號發送，誘餌文檔便會聲稱「此文檔由Google Documents Protect Service加密」。

文檔中嵌入的宏會通過標題訪問惡意有效載荷（Payload），之後從標題提取Bateleur，將內容保存到當前用戶臨時文件夾（%TMP%）中的debug.txt。接下來，宏會創建預定任務將debug.txt作為Bateleur後門執行，在刪除預定任務之前，宏會休眠10秒。

Bateleur後門功能強大

Bateleur後門看起來相當複雜，同時實現了反沙盒和反分析（混淆）機制。

分析指出，這款惡意Jscript後門功能強大，其功能包括反沙盒、反分析（混淆）、檢索被感染系統信息、羅列運行進程、執行自定義命令和PowerShell腳本、載入EXE和DLL文件、截圖、自行卸載並更新等功能，此外，該後門還可能具備滲漏密碼的能力，而滲漏密碼需要命令與控制（C&C）伺服器的附加模塊。

安全研究人員指出，雖然Bateleur留下的痕迹雖然比GGLDR/HALFBAKED少很多，但Bateleur缺乏基本功能，例如在C&C協議中編碼，缺乏備份C&C伺服器。安全人員預計，Bateleur開發人員也許會在不久的將來新增這些功能。

Proofpoint猜測，Bateleur為FIN7/Carbanak犯罪團伙所用。

Bateleur後門還使用了Tinymet Meterpreter下載器，這是Carbanak黑客組織2016年以來使用的一款工具。

Proofpoint指出，該團伙被發現至少於2016年開始將Meterpreter下載器腳本「Tinymet」作為第二階段的有效載荷使用。 Proofpoint至少在一起實例中發現Bateleur下載相同的Tinymet Meterpreter下載器。

Carbanak仍在興風作浪，並持續改進戰術、技術和程序。

ProofPoint稱會繼續分析FIN7使用的戰術和工具變化。Bateleur Jscript後門和新的宏文檔作為該團伙的最新傑作，提供了新的感染方法、新增了隱藏活動的方式、並加強了竊取信息以及直接在受害者設備上執行命令的能力。

07

E安全推薦文章

官網：www.easyaq.com

2017年8月

01

02

03

04

05

06

07

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！