我不生產(chǎn)錢，但我是金錢的搬運工，你見過專門針對 ATM 機的黑客嗎？

有些黑客為了錢，有些黑客則是“愛國”，但別國很生氣，你愛國可以，別朝我們國家的核工業(yè)伸出黑手??！

還有些黑客口味很重啊，保險、咨詢、采礦、煉鋼、零售、建筑公司。。。。一個都不放過。

新加坡網(wǎng)絡安全公司 Group-IB 的研究員很惆悵，挖出了一堆在2018 年下半年與 2019 年上半年期間，表現(xiàn)得十分沒有“節(jié)操”的黑客組織。

他們的滲透方法變得豐富多樣，網(wǎng)絡攻擊更是直接走到了明處。

新對手 RedCurl

2019 年，一個名為 RedCurl 的新晉黑客組織開始嶄露頭角，它們既當間諜又搞金融盜竊，而且攻擊范圍很廣，保險、咨詢、采礦、煉鋼、零售與建筑公司一個也跑不了。Group-IB 表示，RedCurl 背后的黑客技術超群，非常難追查。RedCurl 能一直隱藏自己主要還是因為它們用合法服務與自己的命令與控制（C2）服務器進行通信。

為了行不法之事，黑客非常依賴自定義的木馬。得手后它們第一個任務就是竊取受害者的重要文檔，隨后安裝 XMRIG 借你的算力挖礦（門羅幣）。

當然，RedCurl 也并非所有文檔照單全收，它們更喜歡協(xié)議、付款與合同等信息。

與以往粗放式的攻擊不同，RedCurl 這個對手在釣魚攻擊時手法可是相當專業(yè)。它們會針對不同的受害者定制專用信息，這樣才能有個更高的成功率。

眼下，RedCurl 的真面目還不夠清晰，沒人知道它們到底是網(wǎng)絡犯罪組織，還是某國家組織的攻擊小隊。不過，Group-IB 還是試圖通過查看工具、技術和手法來尋找蛛絲馬跡。

RedCurl 的大部分受害者都在東歐，但北美也有一家公司中招。從誘餌文件所用的預言以及黑客組織使用的電郵服務來看，它們中至少有一個人是說俄語的。

一切向錢看

Group-IB 揪出了 5 個針對金融機構的活躍網(wǎng)絡犯罪組織，而它們中有三個（Cobalt, Silence, MoneyTaker）都說俄語，同時這些組織也是用木馬控制 ATM 機最熟練的。

另外兩個組織 Lazarus 與 SilentCard 則來自肯尼亞，它們專攻非洲銀行，雖然技術一般，但玩得相當成功。

專門針對銀行的黑客組織

誠然，網(wǎng)絡上威脅金融領域的犯罪組織還很多，但 Group-IB 認為這 5 個能帶來非常嚴重的破壞。

這些組織通常會在被攻破的網(wǎng)絡上花費大量時間，以學習其中的訣竅，這樣它們就能像被監(jiān)控的受害者一樣管理金融業(yè)務了。

Group-IB 繪制的網(wǎng)絡攻擊地圖顯示，無論得手與否，2018 年下半年開始這些組織就進入了活躍期，它們幾乎每個月都有大動作。

Group-IB 繪制的網(wǎng)絡攻擊地圖

目前我們還沒有關于 SilentCard 的詳細資料，但研究人員判斷該組織就在肯尼亞本地運營，它們已經(jīng)成功完成了兩次盜竊。

借助僅有的惡意軟件樣本，Group-IB 猜測 SilentCard 攻擊公司網(wǎng)絡時用了一種自行研發(fā)的控制設備。

有國家撐腰的黑客

除了以上這些網(wǎng)絡毒瘤，有政府在背后撐腰的黑客們（也被稱為 APT 組織）最近幾年也很忙。Group-IB 在報告中就列出了 38 個活躍的組織，其中有 7 個是今年新冒出來的網(wǎng)絡間諜組織。

雖然有些新組織去年才露了馬腳，但它們其實很早就開始活動了，最早甚至可以追溯到 2011 年。

有國家撐腰的活躍黑客組織

其中的典型之一就是 Windshift， DarkMatter 去年 8 月份還專門對其工具與策略進行了分析。不過，它們 2017 年就開始當網(wǎng)絡間諜，針對中東地區(qū)政府雇員和關鍵基礎設施刺探情報了。

Blue Mushroom（別名為 Sapphire Mushroom 和 APT-C-12）則是個 2011 年就正式啟動的黑客組織，但去年年中它們的隱形模式才被打破。這個組織更狠，它們專攻核工業(yè)與科學研究機構。

Gallmaker 也是 2018 年才被抓住小辮子的 APT 組織，賽門鐵克認為 2017 年年末它們就正式成軍了。據(jù)悉，Gallmaker 主要依靠自制工具對政府和軍事目標發(fā)動攻擊。

今年年初奇虎 360 的一份報告則顯示，名為 APT-C-36（亦稱 Blind Eagle）的南美黑客組織多次參與了重要公司與政府機構的商業(yè)機密盜竊。

名為 Whitefly 的黑客組織則主要盯上了新加坡的醫(yī)療、媒體、通訊與工程公司，它們 2017 年就開始活動，去年 7 月因為攻擊新加坡最大的公共衛(wèi)生機構而“成名”，當時有 150 萬名病人的資料被竊取。

Hexane 與 Lyceum 則只對中東的關鍵基礎設施感興趣，今年 8 月份它們才正式脫離隱身狀態(tài)。 SecureWorks 最近就公布了該組織進行黑客攻擊時的具體技術手法。

第七家 APT 組織 TajMahal 現(xiàn)在才只是剛剛露了個頭，關于它們的資料還很少。卡巴斯基發(fā)現(xiàn)它們的攻擊框架相當高級，單是一個套件就包含了 80 個模組，TajMahal 正是用它攻破了中亞某外交機構的防御。

網(wǎng)絡戰(zhàn)升級

對政治領袖和軍事行動來說，網(wǎng)絡安全已經(jīng)成了木筒上那塊板子，任誰也不敢慢待。從現(xiàn)有形勢來看，黑客們已經(jīng)脫掉了隱形衣，它們開始光著膀子上陣廝殺了。為此，政府機構也不得不加緊數(shù)字工具的升級，以防出現(xiàn)不測。

至于借網(wǎng)絡攻擊對敵人進行報復最近更是成了日常手段，比如今年夏天美國對伊朗武器系統(tǒng)的攻擊（報復伊朗擊落美軍無人機）。

Group-IB 公司 CTO Dmitry Volkov 指出，2018 年讓我們認識到，網(wǎng)絡世界面對旁路攻擊是多么的脆弱，而 2019 年的主題則是網(wǎng)絡空間上的秘密軍事行動。

雷鋒網(wǎng)注：本文編譯自BleepingComputer。

 ＊＊

雷鋒網(wǎng)年度評選——尋找19大行業(yè)的最佳AI落地實踐

創(chuàng)立于2017年的「AI最佳掘金案例年度榜單」，是業(yè)內首個人工智能商業(yè)案例評選活動。雷鋒網(wǎng)從商用維度出發(fā)，尋找人工智能在各個行業(yè)的最佳落地實踐。

第三屆評選已正式啟動，關注微信公眾號“雷鋒網(wǎng)”，回復關鍵詞“榜單”參與報名。詳情可咨詢微信號：xqxq_xq。

雷峰網(wǎng)版權文章，未經(jīng)授權禁止轉載。詳情見轉載須知。