其相关攻击活动将矛头直指俄罗斯各金融机构
E安全2月22日讯 网络犯罪组织RTM正在着手部署一款基于Delphi编程语言的高复杂度恶意软件,旨在利用其攻击远程银行系统(简称RBS)——一类用于实现大规模资金转移的商业软件。
这一问题的严重程度已经引发俄罗斯中央银行FinCERT方面的注意,FinCERT自2016年年末开始负责打击针对俄罗斯各金融机构的网络犯罪活动。
根据斯洛伐克安全软件厂商ESET公司的介绍,RTM组织利用其恶意软件通过多种方式对受害者开展网络间谍活动,具体包括监控键盘输入以及接入系统的智能卡内容。其使用的恶意软件允许该组织全天候监控与银行业务相关的活动,甚至有机会将被入侵系统中的文件上传至其命令与控制(简称C&C)服务器。
ESET公司恶意软件研究员让-伊恩·布廷表示,“这款恶意软件能够主动搜索常见于俄罗斯各主流财会软件的导出文件。”
此类目标文件(主要来自一款名为‘1C: Enterprise 8’的高人气财会软件)很可能为恶意攻击方提供多种重要信息,因为其中往往包含有指转账细节,即RBS执行订单支付的中间步骤。这些文本文件在落入犯罪分子手中后,其中的收款人帐户信息可能会被篡改,从而诱导受害者将资金发送至由该组织成员(可能为低级别成员)负责管理的帐户当中。
1C: Enterprise 8财会软件
演示导出文件 1c_to_kl.txt
ESET公司认为RTM自2015年就开始实施恶意活动,且其并非第一个专门采用此类攻击方式的黑客组织。包括Buhtrap与Corkow在内的其它黑客团伙过去也曾经将矛头指向RBS用户,慢慢建立对财务网络的了解并据此构建能够从企业受害者处窃取资金的定制化工具。
RTM代表着网络犯罪活动的另一种形式性趋势,意味着一部分犯罪分子开始专注于向金融机构客户开展攻击。RTM恶意活动的受害者主要位于俄罗斯及周围地区,但在西欧范围内亦存在其它采取类似战术且相当活跃的黑客组织。
研究人员警告称,“目前这类主要面向俄罗斯企业目标的恶意活动在能力与实施手段方面皆有着明显进步,这表明世界其它地区的企业也很容易受到类似攻击行为的影响,其很可能成为犯罪组织的下一个目标。”
去年夏季,瑞士信息保障报告与分析中心MELANI发布了一份通告,提醒各企业注意应对由黑客组织利用Dridex恶意软件构建的针对性离线支付软件。
ESET公司还于本周二发布了一份白皮书(点击此处查看相关内容概述博文),专门探讨了RTM的相关恶意活动。
RTM-感染指标
ESET 检测病毒名称
- Win32/Spy.RTM.A
- Win32/Spy.RTM.B
- Win32/Spy.RTM.C
- Win32/Spy.RTM.D
- Win32/Spy.RTM.E
- Win32/Spy.RTM.F
- Win32/Spy.RTM.G
- Win32/Spy.RTM.H
- Win32/Spy.RTM.I
- Win32/Hvnc.AD
- Win64/Spy.RTM.A
基于主机的指标
文件
%PROGRAMDATA%\Winlogon\winlogon.lnk
%PROGRAMDATA%\Winlogon\*.dtt
注册表
%PROGRAMDATA%\Winlogon\winlogon.lnk
%PROGRAMDATA%\Winlogon\*.dtt
网络指标
C&C服务器域
f72bba81c921.livejournal.com/data/rss
webstatisticaonline.tech
vpntap.top
rtm.dev
cainmoon.net
micro4n.top
ssdcool.top
cash-money-analitica.bit
money-cash-analitica.bit
vpnomnet.bit
vpnkeep.bit
fde05d0573da.bit
d47ea26b7faa.bit
feb96eb2aa59.bit
C&C服务器IP地址
5.154.190.167
5.154.190.168
5.154.190.189
5.154.191.57
5.154.191.154
5.154.191.174
5.154.191.225
37.1.206.78
88.208.28.147
91.207.7.69
91.215.153.31
93.170.168.218
93.190.139.66
95.183.52.182
109.236.82.150
109.248.32.152
131.72.138.169
138.201.104.161
154.70.153.125
158.255.6.150
158.255.208.197
185.61.149.70
185.61.149.78
185.82.201.45
185.82.216.14
185.128.42.237
185.141.27.249
185.169.229.42
188.138.71.117
200.74.240.80
200.74.240.134
212.48.90.155
213.184.127.137
217.23.6.29
E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com0day
文章评论