近日，安全公司Proofpoint在收集了黑客組織Carbanak最新活動信息稱，目前該組織的攻擊目標正在轉向中東金融行業高管。

[[164207]]

Carbanak組織正在轉移攻擊目標

根據最新信息顯示，該組織主要針對中東、美國等地區的銀行開展網絡攻擊。一年前，卡巴斯基實驗室曾發出警告：小心網絡罪犯采用具有政府背景的APT工具和策略搶劫銀行。當時除了該組織之外，還發現兩個分別名為Metel和GCMAN的攻擊組織利用同樣的攻擊方式打劫銀行。這些攻擊組織使用隱蔽的APT偵察手段和定制的惡意軟件以及合法軟件進行攻擊，并利用最新的創新手段竊取資金。在2015年9月國際戰略研究中心(CSIS)的安全小組發現了臭名昭著的Carbanak木馬的新變種傳播在網絡上，其目標直指歐美的金融組織。

CSIS在一篇博文中描述道：

“最近，CSIS在進行的一項涉及到微軟Windows客戶端的取證分析中發現，其企圖進行網上銀行欺詐交易。調查取證中，我們設法分離出來一個擁有簽名的二進制文件，后來我們發現這是一個Carbanak的新型變種。我們推測這個變種的目的是從欺詐交易中獲取資金。“

卡巴斯基出具的一份報告中表明：

“涉及到Carbanak的轉賬交易數量很頻繁。Carbanak這個跨國團伙很有可能已經注冊了一家公司并擁有一個銀行賬戶，這樣他們可以輕易將偷來的錢轉移到公司賬戶并完全控制轉賬過程。”

在上個月，卡巴斯基安全實驗室聲稱“Carbanak cybergang”歸來，并與其它一些黑客組織采用類似的APT攻擊手法。新型Carbanak木馬被指依賴于預先設置的IP地址，并且為了躲避查殺，它的數字證書簽名是俄羅斯一家批發公司。目前卡巴斯基已經證實Carbanak gang( Carbanak 2.0)，目前在對不同類型的公司進行網絡攻擊，包括金融機構、電信公司等。

該組織該對俄羅斯銀行使用一種惡意軟件Metel(Corkow)，利用該惡意軟件發送魚叉式網絡釣魚電子郵件。

本周Proofpoint研究人員發現了一個新的趨勢，該組織主要針對中東多個目標發起網絡攻擊，例如黎巴嫩、也門等。而在這些活動中，主要針對的是高層管理人員，例如銀行和軟件公司的業務經理等。攻擊者發送的叉式網絡釣魚電子郵件中包含一個惡意的URL鏈接，同時利用一個舊版本的Office軟件漏洞(CVE-2015-2545)，并為下載 Carbanak提供一個有效路徑(Spy.Sekur)。

攻擊范圍也在擴大

在一些情況下，攻擊者發送的郵件中含有jRAT遠控木馬，Proofpoint發布報告稱：

“我們最近發現了Carbanak組織的一些企圖，攻擊在中東、美國以及歐洲金融或涉及財務公司的高層管理人員，釣魚郵件還有鏈接、宏文件、利用漏洞文檔，利用Spy.Sekur(Carbanak惡意軟件)，遠程木馬病毒(jRAT、Netwire、 Cybergate )，這樣做可以讓第三方獲取訪問權限。”

報告中這樣描述：

“與之前3月1日活動不同的是，文檔中包含了鏈接，同時在郵件中添加了附件，這兩個文檔“emitter request_2016-03-05-122839.doc”以及“Reverse debit posted in Error 040316.doc”，利用自動運行宏從hxxp://154.16.138[.]74/sexit.exe，最終下載 Spy.Sekur。”

目前，可以確定的是該組織已經開始擴大攻擊范圍了。