APT組織Carbanak源碼泄露

多年來一直活躍於金融領域網路犯罪的APT組織Carbanak近日被某安全組織曝光了攻擊工具的源碼，MalwareBenchmark在第一時間獲取到源碼後，發布了該分析報告。

1. Carbanak組織介紹

Carbanak組織的活動最開始源於2014年，先後襲擊了全球30多個國家的金融機構，據執法部門公布，Carbanak目前已經獲取超過10億美元。

Carbanak犯罪團伙因他們使用惡意軟體「Carbanak」攻擊銀行計算機和其它金融機構而得此名。知名的網路安全專家Brian Krebs開展過一項調查，認為Carbanak網路犯罪團伙與俄羅斯安全公司Infocube之間的具有一定的關聯。

卡巴斯基調查發現，Carbanak通過魚叉式釣魚攻擊員工的計算機入侵銀行網路，之後利用內部網路，從而查看和記錄負責資金轉賬系統的銀行員工的屏幕。通過這種方式，網路罪犯可以了解到銀行員工工作的全部詳情，從而模仿員工的行為，盜取資金和現金。

2. 泄露詳情

此次泄露的源代碼包括四個文件夾和一個txt說明文檔：

說明文檔info.txt，主要介紹了銀行的轉賬機制和銀行操作員的流程介紹、簽名要求等，詳細的分享了如何進行欺詐性付款說明，通過這個可以發現Carbanak對金融機構的業務流程非常熟悉。

最主要的工具包被命名為Pegasus，下面包含了多個工具，包括具有憑證收集功能的全功能RAT，Mimikatz的修改版本和用於攔截KBR（俄羅斯支付系統）數據交換的功能模塊。工具集截圖如下：

說明文檔和源碼中出現了大量的俄語注釋，看來Carbanak來自於俄羅斯已經是石錘了。目前泄露的文件和源代碼來源未知，雖然在2016年Carbanak已經在國外某論壇上公開銷售，但是否和本次泄露的源碼相同還無法得知。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！