最新消息
Forcepoint 发表一篇金融攻击调查结果,发现骇客集团Carbanak (又称 Anunak)发动新一波的金融攻击
达友科技代理的信息安全大厂 Forcepoint 近日发表一篇金融攻击的调查结果,发现先前疑似发动第一银行ATM盗领案的东欧、俄罗斯骇客集团 Carbanak (又称 Anunak),近日发动新的一波金融攻击:
A. 采用 RTF & docx 格式进行鱼叉式钓鱼,假装文件被加密,引诱使用者点选执行解密的 VB Script 来触发恶意木马植入
B. 利用 Google 的 Script 服务以及 Google Doc 服务来作为 C&C 中继站,以规避静态 URL Filter 的过滤
INDICATORS OF COMPROMISE (以下为疑似被攻陷的指标相关情资,提供有需要的朋友们参考)
Carbanak Documents
1. 1ec48e5c0b88f4f850facc718bbdec9200e4bd2d (3-ThompsonDan.rtf)
2. 400f02249ba29a19ad261373e6ff3488646e95fb (order.docx)
3. 88f9bf3d6e767f1d324632b998051f4730f011c3 (claim.rtf)
Carbanak Google Apps Script C&Cs
hxxps://script.google[.]com/macros/s/AKfycbzuykcvX7j3TlBNyQfxtB1mqii31b4VTON640yiRJT0t6rS4s4/exec
hxxps://script.google[.]com/macros/s/AKfycbxxx5DHr0F8AYhLuDjnp7kGNELq6g27J4c_JWWx1p1nDfZh6InO/exec
hxxps://script.google[.]com/macros/s/AKfycbwZHCgg5EsCiPup_mNxDbSX7k7yBMeXWenOVN1BWXHmyBpb8ng/exec
Carbanak Google Forms C&Cs
hxxps://docs.google[.]com/forms/d/e/1FAIpQLScx9gwNadC7Vjo11mXLbU3aBQRrqVpoWjmNJ1ZneqpjaYLE3g/formResponse
hxxps://docs.google[.]com/forms/d/e/1FAIpQLSfE9kshYBFSDAfRclW8m9rAdajqoYhzhEYmEAgZexE3LQ-17A/formResponse
hxxps://docs.google[.]com/forms/d/e/1FAIpQLSdcdE7lTEiqV5MW3Up8Hgcy5NGkIKnLKoe0YPFriD4_9qYq9A/formResponse
Carbanak C&Cs
hxxp://atlantis-bahamas[.]com/css/informs.jsp
hxxp://138[.]201[.]44[.]4/informs.jsp
Carbanak Cobalt Strike / Meterpreter DNS Beacon C&Cs
aaa.stage.15594901.en.onokder[.]com
aaa.stage.4710846.ns3.kiposerd[.]com
详细资料网址:
fc-pt.com/2jtAQLU
