新发现的“收银者”黑客组织从美国和俄罗斯的银行偷走了数百万美元

总部位于莫斯科的安全公司Group IB周一发布了一份36页的报告，提供了新披露的黑客组织的详细信息收银者, 至少从2016年5月开始运营。

在过去18个月里，该黑客组织据信对不同的金融机构进行了20多次攻击—；盗窃了1100多万美元和可能用于下次袭击的敏感文件。

据该安全公司称，该集团主要针对的是卡处理系统，包括AWS CBR（俄罗斯银行间系统）和SWIFT国际银行信息服务（美国）。

"犯罪分子窃取了OceanSystems的FedLink卡处理系统的文件，该系统被拉丁美洲和美国的200家银行使用。“IB集团在其报告中说。

IB集团还警告称，针对金融机构的收银者袭击似乎仍在继续，拉丁美洲的银行可能是他们的下一个目标。

收银者：1.5年的沉默经营

自去年5月首次成功发动攻击以来，MoneyTaker已将目标锁定在加利福尼亚州、伊利诺伊州、犹他州、俄克拉荷马州、科罗拉多州、南卡罗来纳州、密苏里州、北卡罗来纳州、弗吉尼亚州和佛罗里达州的银行，主要目标是网络防御能力有限的小型社区银行。
即使在对如此多的目标进行了大量攻击之后，MoneyTaker group仍然通过使用各种公开可用的渗透测试和黑客工具，包括Metasploit、NirCmd、psexec、Mimikatz、Powershell Empire，以及2016年俄罗斯黑客会议上作为概念证明而演示的代码，设法隐藏其活动。

“为了在网络上传播，黑客使用了合法的工具psexec，这是网络管理员的典型做法。”IB集团在其报告中说。

除了使用开源工具外，该组织还大量利用Citadel和Kronos banking特洛伊木马交付一个名为ScanPOS的销售点（POS）恶意软件。

“在执行时，ScanPOS会获取当前正在运行的进程的信息，并收集受感染系统上的用户名和权限。也就是说，它主要用于转储进程内存和搜索支付卡跟踪数据。特洛伊木马会使用Luhn算法检查任何收集到的数据进行验证，然后将其发送到出站服务器。”C&amp；C服务器"。

"该组织使用仅存在于RAM中的“无文件”恶意软件，并在重启后销毁。为了确保系统的持久性，MoneyTaker依赖于PowerShell和VBS脚本——它们都很难被防病毒检测到，也很容易修改。在某些情况下，他们“即时”更改了源代码&8211，袭击期间"。

"为了将权限升级到本地管理员（或系统本地用户），攻击者使用标准Metasploit包中的漏洞模块，或绕过UAC技术的漏洞攻击。通过本地管理员权限，他们可以使用Mimikatz程序提取未加密的Windows凭据，该程序使用MeterMeter加载到内存中"。

此外，MoneyTaker还使用使用知名品牌名称生成的SSL证书，包括美国银行、微软、雅虎和联邦储备银行，隐藏其恶意流量。
黑客组织还对其服务器进行配置，使恶意有效载荷只能传送到目标公司的预定IP地址列表。此外，它还依赖PowerShell和VBS脚本来确保目标系统中的持久性。

第一次攻击发生在2016年5月，当时IB集团成功访问了first Data的STAR，美国最大的银行转账信息系统连接5000多家机构的ATM机，偷了钱。

2017年1月，另一家银行再次遭到类似攻击。

以下是攻击的工作原理：

“这个方案非常简单。在控制了银行的网络后，攻击者检查了他们是否可以连接到卡处理系统。随后，他们合法地打开或购买了被他们入侵的IT系统的银行卡，”Group IB解释道。

“洗钱者，从ATM机，上一次激活的卡上取款的犯罪分子前往国外，等待操作开始。在进入卡处理系统后，攻击者取消或增加了对洗钱者持有的卡的取款限制”。

然后，货币骡子取消了透支限制，这使得他们甚至可以用借记卡透支现金。使用这些卡，他们“一个接一个地从ATM机取款”

根据该报告，单是收银员从美国银行偷走的平均金额就约为50万美元，至少有三家俄罗斯银行偷走了300多万美元。

该报告还详细描述了对一家俄罗斯银行的攻击，其中MoneyTaker集团使用模块化恶意软件程序，以AWS CBR（俄罗斯中央银行的自动工作站客户端）和#8212；类似于SWIFT的俄罗斯银行间资金转账系统。

该模块化工具能够搜索并修改支付订单，用欺诈性的支付细节替换原始支付细节，并在完成任务后仔细清除恶意软件痕迹。

虽然目前尚不清楚MoneyTaker是如何在公司网络中站稳脚跟的，但在一个具体案例中，银行内部网络受损的切入点是银行系统管理员的家用电脑。

IB集团认为，黑客现在正在寻找破坏SWIFT银行间通信系统的方法，尽管没有发现近期任何针对SWIFT系统的网络攻击背后有收钱者的证据。