「宙斯熊貓」銀行木馬仍在活躍 目標擴大到加密貨幣和社交媒體

「用指尖改變世界」

應用交付網路（ADN）的全球領導者F5 Networks公司在近幾個月以來發現了多項利用「宙斯熊貓（Zeus Panda）」銀行木馬開展的網路攻擊活動 ，專註於全球金融服務機構。

Zeus Panda，也被稱為Panda Banker或PandaBot，最初是由荷蘭網路安全公司Fox-IT在2016年發現的。另一家美國網路安全公司Proofpoint在經過分析後發現，它從Zeus的銀行木馬借用代碼，一種首次出現在7年前並一直保持活躍的木馬病毒，這也是它為什麼被以「Zeus Panda」命名的原因。

研究人員在發現Zeus Panda時，它正被作為工具包在地下論壇出售。通過網路釣魚電子郵件傳播，並針對Windows操作系統。它的主要攻擊技術包括Web注入、用戶活動屏幕截圖（每次滑鼠點擊最多100次）、鍵盤輸入記錄、剪貼板粘貼（抓取密碼並將其粘貼到表單欄位）以及利用虛擬網路計算（VNC）桌面共享系統。

隸屬於F5 Networks公司的F5 Labs此次分析了在四起在今年2月至5月期間利用Zeus Panda銀行木馬開展的攻擊活動。2月份的攻擊活動集中在加密貨幣網站上，而5月份的三起活動則都針對了Facebook和Twitter，並且至今仍處於活躍狀態。

F5 Labs進一步分析說，每一起活動都使用了不同的命令和控制（C＆C）伺服器，其中三個與已知的俄羅斯黑客組織聯繫在一起，第四個託管在中國。

Zeus Panda仍專註於全球金融服務機構，但隨著加密貨幣帶來的熱潮，它已將目標擴大到在線加密貨幣交易和經紀服務。另外，社交媒體、搜索服務、電子郵件和成人網站也成為了它的目標。在2017年11月，思科Talos團隊發現網路犯罪分子利用搜索引擎優化（SEO）的關鍵字集合部署惡意鏈接，而其目的便是傳播Zeus Panda，以竊取用戶財務憑證和其他敏感信息。

F5 Labs指出，Zeus Panda主要活躍在日本、義大利、美國和加拿大，尤其是在針對日本金融服務機構的活動中擁有最廣泛的行業目標。在5月份的活動中，涉及到的目標包括社交媒體、搜索服務、電子郵件、電子商務、技術提供商和成人網站。不難看出，這些行業普遍都存在一個共同點，那就是會收集用戶的支付信息和其他形式的個人身份信息（PII）。

在2月份的活動中，Zeus Panda被配置為殭屍網路「onore2」，能夠利用鍵盤輸入記錄功能通過網頁瀏覽器和VNC竊取用戶的個人信息。僅針對了兩個行業：金融服務和加密貨幣網站。大多數目標是義大利的金融服務網站（佔51%），剩餘的49%則都是全球的加密貨幣網站。

在5月1日的分析中，F5 Labs發現了最新的樣本，其中一個被配置為殭屍網路「2.6.8」。新的活動有8個行業的目標，其中76％是美國金融機構。該活動還針對了6家加拿大金融機構，其次是加密貨幣網站、全球社交媒體提供商、搜索和電子郵件提供商，以及薪資、娛樂和技術提供商。

此外，還有另一個被配置為殭屍網路「2.6.8」的樣本，不過攻擊者使用了不同的策略和不同的C&C伺服器。這起活動針對了日本金融服務機構，其中大部分是信用卡提供商。其他目標包括電子商務巨頭亞馬遜（Amazon）、一些娛樂平台（如Youtube）、社交媒體領袖Facebook和Twitter以及日本的兩個成人網站。

最後一個樣本被配置為殭屍網路「cosmos3」，目標針對了拉丁美洲的金融機構。這包括位於阿根廷、哥倫比亞和厄瓜多的銀行，其次是社交媒體（Facebook、Twitter、Instagram和Flickr）、搜索服務、電子郵件（MSN和Bing）、娛樂平台（YouTube）和技術提供商（微軟）。值得注意的是，這起活動與其他三起活動相比存在一個特別的地方，那就是它的C＆C伺服器託管在中國。

F5 Labs總結說，能夠同時針對全球多個國家和多個行業開展網路攻擊活動表明，這些活動是由一個高度活躍的網路犯罪集團操縱的。從攻擊態勢來看，這些活動不僅不會在短期內結束，並且可能會愈演愈烈。

本文由黑客視界綜合網路整理，圖片源自網路；轉載請註明「轉自黑客視界」，並附上鏈接。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！