孟加拉国银行,越南的商业银行和索尼图片是在BAE系统的安全研究人员发现的网络阴谋中的不太可能的床单。
研究人员Sergei Shevchenko和Adrian Nish在2014年签发的恶意软件之间找到了一些链接,索尼图片和涉及涉及Swift金融转移网络盗窃的两岸的攻击。
美国联邦调查局表示,朝鲜对索尼袭击归咎于责任(尽管安全专家在此事上)。
朝鲜也在寻求提升其外币储备吗?或者是谁进行虚假标志操作 - 或只是重用旧代码?
在孟加拉国银行和越南商业银行攻击中使用的两块恶意软件之间的联系是明确的。舍甫琴科和NISH对它们进行了反演,发现他们使用了一个相同的功能来擦除来自受感染的计算机的文件。该函数首先使用随机字符填充文件,以确保在磁盘上占用的扇区无法恢复任何内容,然后在删除之前将文件的名称更改为随机字符串。
恶意软件追求其目的的彻底性呼吸,这两个通过在线恶意软件数据库追捕,用于其他文件擦除代码的其他示例。
他们在2014年10月24日编译的文件中找到了一个名为Msoutc.exe的文件中,并于2016年3月4日在美国上传到数据库。
该可执行文件通过尝试创建互斥锁或锁定标志来开始其邪恶的工作,其中名称“全局/ fwtsqmsession106839323_-1-5-20”来防止在同一台计算机上运行的恶意软件的多个副本。
如果标志已经存在,则意味着恶意软件的另一个副本已在运行,新副本通过运行脚本来删除自身从系统中删除,然后退出,离开第一个副本完好无损。
否则,它携带,创建日志文件并使用键“y @ s!11yid60u7f!07ou74n001”加密它。
裴的研究人员挖了四处,发现钥匙已经在2015年通过PWC发现的Windows SMB股市传播的蠕虫中,尽管它的互斥锁略有不同。SMB是用于共享目录和打印机的Windows协议。
反过来,普华永道发现的蠕虫中的互斥锁相同于2014年12月的一份美国 - 证书关于攻击“一名主要娱乐公司”的有针对性的破坏性恶意软件的报告,广泛认为是索尼图片。然而,由美国证书描述的SMB蠕虫有不同的(虽然是类似的)加密密钥。
要将它全部覆盖,雪佛考科和Nish发现Msoutc.exe使用的自杀脚本与分析公司Novetta报告的脚本几乎相同,因为Lazarus集团开发的恶意软件的特征。那个小组Novetta在其报告中归咎于索尼攻击“运营大片”。
因此,“两个银行使用包含文件删除功能的恶意软件攻击,该函数与名为Msoutc.exe的恶意软件中使用的文件删除功能相同。并且在Msoutc.exe使用的自杀脚本,加密密钥和互斥锁中存在强烈的相似之处,以及索尼攻击中涉及的恶意软件使用的互斥锁。
它仍然有人“猜测谁在所有这些攻击之后:在孟加拉国,政府官员在去年在央行网络上工作的迅速技术人员指出了手指,而FBI则表示攻击是一个内部工作 - 但责备索尼的朝鲜人。
尽管Shevchenko和Nish突出显示的攻击之间的连接,但仍然有机会与其他人和分解器一样方便,并且重复使用代码 - 并选择类似的加密密钥 - 留下虚假跟踪。
但是,BAE研究人员说,这是苗条的。
“这些样本之间的重叠为同一编码器提供了强有力的联系,这些编码器在最近的银行兴趣案件后面,并且伸展几十年的更广泛的广告系列,”他们得出结论。
版权及免责声明:凡本网所属版权作品,转载时须获得授权并注明来源“科技金融网”,违者本网将保留追究其相关法律责任的权力。凡转载文章,不代表本网观点和立场,如有侵权,请联系我们删除。