首頁 > 最新消息 >Forcepoint 發表一篇金融攻擊調查結果,發現駭客集團Carbanak (又稱 Anunak)發動新一波的金融攻擊

最新消息

2017-01-19

Forcepoint 發表一篇金融攻擊調查結果,發現駭客集團Carbanak (又稱 Anunak)發動新一波的金融攻擊


達友科技代理的資安大廠 Forcepoint 近日發表一篇金融攻擊的調查結果,發現先前疑似發動第一銀行ATM盜領案的東歐、俄羅斯駭客集團 Carbanak (又稱 Anunak),近日發動新的一波金融攻擊:

A. 採用 RTF & docx 格式進行魚叉式釣魚,假裝文件被加密,引誘使用者點選執行解密的 VB Script 來觸發惡意木馬植入

B. 利用 Google 的 Script 服務以及 Google Doc 服務來作為 C&C 中繼站,以規避靜態 URL Filter 的過濾

INDICATORS OF COMPROMISE (以下為疑似被攻陷的指標相關情資,提供有需要的朋友們參考)

Carbanak Documents
1. 1ec48e5c0b88f4f850facc718bbdec9200e4bd2d (3-ThompsonDan.rtf)
2. 400f02249ba29a19ad261373e6ff3488646e95fb (order.docx)
3. 88f9bf3d6e767f1d324632b998051f4730f011c3 (claim.rtf)

Carbanak Google Apps Script C&Cs
hxxps://script.google[.]com/macros/s/AKfycbzuykcvX7j3TlBNyQfxtB1mqii31b4VTON640yiRJT0t6rS4s4/exec
hxxps://script.google[.]com/macros/s/AKfycbxxx5DHr0F8AYhLuDjnp7kGNELq6g27J4c_JWWx1p1nDfZh6InO/exec
hxxps://script.google[.]com/macros/s/AKfycbwZHCgg5EsCiPup_mNxDbSX7k7yBMeXWenOVN1BWXHmyBpb8ng/exec

Carbanak Google Forms C&Cs
hxxps://docs.google[.]com/forms/d/e/1FAIpQLScx9gwNadC7Vjo11mXLbU3aBQRrqVpoWjmNJ1ZneqpjaYLE3g/formResponse
hxxps://docs.google[.]com/forms/d/e/1FAIpQLSfE9kshYBFSDAfRclW8m9rAdajqoYhzhEYmEAgZexE3LQ-17A/formResponse
hxxps://docs.google[.]com/forms/d/e/1FAIpQLSdcdE7lTEiqV5MW3Up8Hgcy5NGkIKnLKoe0YPFriD4_9qYq9A/formResponse

Carbanak C&Cs
hxxp://atlantis-bahamas[.]com/css/informs.jsp
hxxp://138[.]201[.]44[.]4/informs.jsp

Carbanak Cobalt Strike / Meterpreter DNS Beacon C&Cs
aaa.stage.15594901.en.onokder[.]com
aaa.stage.4710846.ns3.kiposerd[.]com

詳細資料網址:
fc-pt.com/2jtAQLU

 

達友科技股份有限公司 版權所有 Copyright ©2015 Docutek Solutions , Inc.