資安研究人員最近批露了有關俄語系網路犯罪團體 MoneyTaker 的細節。根據報導指出,該集團曾經攻擊美國和俄羅斯的金融機構,並且至少從 20 個支付卡與跨行轉帳系統得手了一千萬美元的不法獲利。
MoneyTaker 是什麼?
MoneyTaker 是一個網路犯罪集團,其名稱來自該團體所用的客製化惡意程式,此程式專門用來入侵與金融交易系統連接的工作站電腦。MoneyTaker 的作案手法是先入侵這些系統,然後再雇用一群車手到 自動提款機 (ATM) 前提款。
MoneyTaker運作至今至少有 18 個月之久,他們下手的對象包括:信用合作社、金融服務機構、律師事務所、軟體廠商等等的系統與網路。研究人員表示,該集團目前也開始拓展版圖至拉丁美洲企業,甚至嘗試入侵環球銀行金融電信協會 (SWIFT) 的系統。去年,歹徒利用 SWIFT 系統的弱點洗劫了孟加拉中央銀行,使得該銀行至少損失 8,100 萬美元。
[資安基礎觀念:商業流程入侵 (Business Process Compromise)]
MoneyTaker 是如何將錢從銀行偷走?
MoneyTaker 基本上使用的是無檔案式惡意程式,這類惡意程式不需下載檔案,亦不需將檔案寫入本地端磁碟。它們會直接注入系統記憶體內執行,或者躲藏在系統登錄內,以長期潛伏。典型的無檔案式攻擊技巧包括:將惡意程式碼直接注入現有執行程序當中,或者利用 PowerShell 這類工具來執行腳本。其中一個率先使用這類犯罪技巧的就是 Lurk 網路犯罪集團,該集團已從金融機構得手超過 4,500 萬美元。 繼續閱讀