对两家银行的恶意软件攻击有2014年索尼图片黑客的链接
40家公司试用IBM WATSON认知计算网络安全
此启动使用机器学习将您的旧企业应用程序转换为移动版本
法国税务警察袭击谷歌的巴黎办事处
IBM Q3结果表明公司的大云赌注正在偿还
Apple的蒂姆厨师WOOS App开发人员在印度
Rovi获得11亿美元的Tivo
Mac Outlook即将让您调整图像大小并尝试新字体
太阳能飞机开始在美国大陆的旅程
明亮的小实验室推出第一本书来鼓励孩子们成为茎
whatsapp扩展到桌面
谷歌在Microsoft,Tableau等之后进行了新的免费分析工具
微软为其日出日历应用了日落日期
Windows 10 Nagware Patch KB 3035583返回Windows 7 PCS
Arduino用Primo Board瞄准物联网
Amadeus转向NoSQL回答复杂的旅行问题
高度保证身份政府和金融的首要任务
iOS和Android的Outlook获取新的日历集成
超级计算从权力转移到目的
Doddle Parcels与NoSQL数据库提供圣诞节
土地注册表构建集中数字寄存器
酋长国NBD飞行员区块链条的货币转移
技术北欧倡导者网络看起来像一年?
笔记本电脑,平板电脑可以用三星突破包装更多的DDR4记忆
新加坡中央银行测试银行到银行付款区块链
英特尔最快的22个核心Broadwell芯片来到新服务器
2016年十大网络犯罪故事
Theresa可能会宣布6700万英镑的数字心理健康服务基金
Dailymotion Breach提示呼叫密码替代品
Martin Kuppinger说,数字转换不是有限的过程
与东南亚的不断发展的千禧年消费者保持步伐
微软正在将Windows 10放在智能家居中心的Cortana
英国青少年不知不觉地揭露私人数据
威尔士政府为新的宽带计划拨打80米
VIBER跟踪WHATSAPP在向其消息服务中添加端到端加密
戴尔为其有线开关采用Aerohive WLAN管理
欧洲航天局希望在月球上建造村庄
法院腾出iPhone黑客订单对苹果,焦点转向纽约
计划于2017年基于区块的黄金交易
联邦调查局据报道,从黑客购买漏洞,可以访问圣贝纳迪诺iPhone
jigsaw ransomware删除更多文件延迟支付时间越长
预算破坏者:CIO提供资助数字举措的三种方式
DMCA Takedowns洪水版权办公室有成千上万的评论
CIO采访:Giles Pavey,首席数据科学家邓恩赫比
Gigya是消费者识别领导者,找到了KuppingerCole
物业公司翻转到Azure以调动业务流程
25家最高支付公司:哪种技术联合谷歌,Facebook和微软?
Stealthy USB Trojan隐藏在便携式应用中,目标是空调系统
新的忍者台式机咆哮着英特尔的72核超超级计算芯片
报告称,全球企业在主要网络刷新中
您的位置:首页 >论坛 > 移动互联 >

对两家银行的恶意软件攻击有2014年索尼图片黑客的链接

2021-06-30 10:44:05 [来源]:

孟加拉国银行,越南的商业银行和索尼图片是在BAE系统的安全研究人员发现的网络阴谋中的不太可能的床单。

研究人员Sergei Shevchenko和Adrian Nish在2014年签发的恶意软件之间找到了一些链接,索尼图片和涉及涉及Swift金融转移网络盗窃的两岸的攻击。

美国联邦调查局表示,朝鲜对索尼袭击归咎于责任(尽管安全专家在此事上)。

朝鲜也在寻求提升其外币储备吗?或者是谁进行虚假标志操作 - 或只是重用旧代码?

在孟加拉国银行和越南商业银行攻击中使用的两块恶意软件之间的联系是明确的。舍甫琴科和NISH对它们进行了反演,发现他们使用了一个相同的功能来擦除来自受感染的计算机的文件。该函数首先使用随机字符填充文件,以确保在磁盘上占用的扇区无法恢复任何内容,然后在删除之前将文件的名称更改为随机字符串。

恶意软件追求其目的的彻底性呼吸,这两个通过在线恶意软件数据库追捕,用于其他文件擦除代码的其他示例。

他们在2014年10月24日编译的文件中找到了一个名为Msoutc.exe的文件中,并于2016年3月4日在美国上传到数据库。

该可执行文件通过尝试创建互斥锁或锁定标志来开始其邪恶的工作,其中名称“全局/ fwtsqmsession106839323_-1-5-20”来防止在同一台计算机上运行的恶意软件的多个副本。

如果标志已经存在,则意味着恶意软件的另一个副本已在运行,新副本通过运行脚本来删除自身从系统中删除,然后退出,离开第一个副本完好无损。

否则,它携带,创建日志文件并使用键“y @ s!11yid60u7f!07ou74n001”加密它。

裴的研究人员挖了四处,发现钥匙已经在2015年通过PWC发现的Windows SMB股市传播的蠕虫中,尽管它的互斥锁略有不同。SMB是用于共享目录和打印机的Windows协议。

反过来,普华永道发现的蠕虫中的互斥锁相同于2014年12月的一份美国 - 证书关于攻击“一名主要娱乐公司”的有针对性的破坏性恶意软件的报告,广泛认为是索尼图片。然而,由美国证书描述的SMB蠕虫有不同的(虽然是类似的)加密密钥。

要将它全部覆盖,雪佛考科和Nish发现Msoutc.exe使用的自杀脚本与分析公司Novetta报告的脚本几乎相同,因为Lazarus集团开发的恶意软件的特征。那个小组Novetta在其报告中归咎于索尼攻击“运营大片”。

因此,“两个银行使用包含文件删除功能的恶意软件攻击,该函数与名为Msoutc.exe的恶意软件中使用的文件删除功能相同。并且在Msoutc.exe使用的自杀脚本,加密密钥和互斥锁中存在强烈的相似之处,以及索尼攻击中涉及的恶意软件使用的互斥锁。

它仍然有人“猜测谁在所有这些攻击之后:在孟加拉国,政府官员在去年在央行网络上工作的迅速技术人员指出了手指,而FBI则表示攻击是一个内部工作 - 但责备索尼的朝鲜人。

尽管Shevchenko和Nish突出显示的攻击之间的连接,但仍然有机会与其他人和分解器一样方便,并且重复使用代码 - 并选择类似的加密密钥 - 留下虚假跟踪。

但是,BAE研究人员说,这是苗条的。

“这些样本之间的重叠为同一编码器提供了强有力的联系,这些编码器在最近的银行兴趣案件后面,并且伸展几十年的更广泛的广告系列,”他们得出结论。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。