许多安全专家怀疑,俄罗斯警方5月底逮捕黑客组织Lurk与之后钓鱼攻击工具包Angler Exploit Kit不明所以的停止更新之间存在关联。
Lurk黑客团伙被捕及随后的“巧合”
5月底,俄罗斯政府宣布,抓获涉嫌窃取4500万美元的黑客团伙,涉案人数多达50人,该网络犯罪组织名为Lurk,从2011年成型,开始攻击目标为一些组织和用户,大概在一年半之前,将目光转向银行,一共从银行和其他金融机构以及企业共盗窃超过4500万美元。
而就在逮捕发生一周后,一些安全公司宣布:Angler——世界上最先进的EK忽然停止更新,销声匿迹。
随后一周,Necurs僵尸网络也停止所有活动,但是最终于3周后重新复活,恢复运行。
Lurk、Angler和Necurs 僵尸网络之间的关联
Cisco的 Talos 小组表示:
所有的停止运作行为都不是偶然的!此3者间存在共同纽带。
Lurk银行木马使用的125C&C服务器,85%的都是一个使用john[.]bruggink@yahoo[.]co[.]uk的电子邮件地址的人注册的。
关于Lurk木马
Lurk木马是一种复杂的、通用的、多模块的多功能恶意软件,能够获取受害者计算机的访问权限。Lurk木马非常独特,它的恶意代码不会存储在受害者的计算机中,而是在随机访问存储器(RAM)中。
在去年2月发表的一项研究中,同样的电子邮件地址在一场网络犯罪活动中被用于注册Angler payload delivery domains,传播Bedep恶意软件。
2月份的研究报告还发现,同样的电子邮件地址还注册了一小部分用于Necurs僵尸网络的C&C服务器的域名。
Lurk黑客团队与犯罪软件
虽然Necurs僵尸网络最终复活了,但是Angler并没有。Necurs的重现可能与它是传播Dridex银行木马和Locky勒索软件最大的来源这一事实有关,Necurs的复活行为可能由不同的团队共同操作完成的。
不同的网络犯罪集团之间存在联系和合作,就如同合法企业之间的合作伙伴关系一般。虽然Dridex操纵者花费了大约3周的时间来处理Lurk团队被捕后引发的系列问题,但他们最终还是设法恢复了Necurs,这一传播Dridex银行木马和Locky勒索软件的僵尸网络。
john[.]bruggink@yahoo[.]co[.]uk 这一电子邮件地址并没有清晰的展现各种不同的恶意软件之间的关联,但是它更像是一个根源。当俄罗斯当局将其公布之后,他们偶然发现了Angler 和 Lurk团伙之间的关联,但并没有直接发现与Necurs僵尸网络的关联,只是记录下了一些相关的服务器。
接下来,留给俄罗斯当局的重任就是铲除Dridex犯罪网,这一被认为是世上最专业、组织有序的网络犯罪网。
关于Dridex
Dridex这个名字是在2014年才慢慢形成的,并且还被认为是Gameover Zeus (GoZ)、Feodo、Cridex、 Bugat等的继承者,运用多种技术来窃取用户的私人敏感信息和金融信息,并用于欺诈犯罪。
Dridex的散播方式主要是垃圾邮件,附件是一个伪造Microsoft word文档。目标银行主要位于美国、罗马尼亚、法国、英国等。
发表评论