您的需求已经提交,我们将在48小时内联系您
全国服务热线:400-1000-221
确定
服务热线
400-1000-221
在线咨询
点击联系客服
试用申请
请填写真实的企业信息,方便我们尽快了解您的企业安全需求。

*公司名称

*所在行业

*联系人

QQ

*联系电话

您的需求
私有云产品
云垒 立体式私有云安全纵深防御平台
云眼 新一代(云)主机入侵监测及安全管理系统
啸天 网络安全态势感知
云固 新一代网页防篡改系统
云御 新一代网站应用防御系统
公有云产品
云磐 立体式公有云安全纵深防御平台
安全云主机
高级服务
抗DDoS云服务
高级渗透测试服务
攻击取证与溯源分析服务
信息安全等级保护服务
重大活动安保服务
勒索病毒防护
区块链安全
其他需求
*验证码
{{message}}
试用申请
黑客利用乌克兰会计软件开发商官网传播 Zeus 银行木马新变种

据外媒 1 月 6 日报道,黑客滥用乌克兰会计软件开发商 Crystal Finance Millennium ( CFM )的官方网站散布恶意软件,分发 Zeus 银行木马新变种。Cisco Talos 称该恶意软件通过附加在垃圾邮件上的下载程序获取,且具有一定规模的传播范围。

  此次攻击发生于 2017 年 8 月乌克兰独立日假期前后,乌克兰当局和企业接到了当地安全公司 ISSP 的网络攻击警报 ,用来托管恶意软件的一个域名与乌克兰会计软件开发商 CFM 的网站有关。不仅如此,攻击者还利用 CFM 网站传播了 PSCrypt 勒索软件,这是去年针对乌克兰用户的恶意软件。所幸此次攻击黑客没有损害 CFM 的更新服务器,也没有在早前的 Nyetya 协议中看到相同级别的访问。

  在这次攻击中,恶意软件负载的电子邮件中包含一个用作恶意软件下载程序的 JavaScript 压缩文件。一旦该文件打开,Javascript 就会被执行,并导致系统检索恶意软件的 playload,运行后 Zeus 银行木马病毒将会感染系统。

image_20180109_01

思科 Talos 统计:受Zeus银行木马新变种影响的地区

  自从 2011 年 Zeus 木马版本 2.0.8.9 的源代码被泄露以来,其他威胁行为者从恶意代码中获得灵感,将其并入多个其他银行木马中。 研究人员发现此次活动发布的恶意软件和 ZeuS 源代码的泄漏版本之间就存在着代码重用:

  一旦在系统上执行,恶意软件会执行多个操作来确定它是否在虚拟的沙箱环境中执行。 若恶意软件没有检测到正在沙箱环境中运行的情况下,那么它就会采取措施来在被感染的系统上实现持久性。恶意软件甚至会在受感染的系统上创建一个注册表项,以确保每次重新启动受感染设备时都会执行恶意代码。一旦系统被感染,恶意软件就会尝试去接触不同的命令和控制 ( C&C ) 服务器。
研究人员表示,大多数被恶意软件感染的系统都位于乌克兰和美国,乌克兰交通运输部管辖的 PJSC Ukrtelecom 公司的  ISP 受影响最为严重。影响数量达到 3115 个独立 IP 地址、 11,925,626 个信标显示了这个恶意软件的传播规模。

研究人员称越来越多的攻击者试图滥用受信任的软件制造商,并以此作为在目标环境中获得立足点的一种手段。为了部署更有效的安全控制措施来保护其网络环境,攻击者正在不断改进其攻击方法。