新型银行木马“Odinaff”与Carbanak犯罪团伙有关

赛门铁克公司发现证据表明，一款主要针对银行业的新型木马与Carbanak犯罪团伙有关。Carbanak犯罪团伙2013年至2014年间，从30个国家100家银行盗窃逾10亿美元。

这款新型木马名为“Odinaff”，首次于2016年1月被识别。这款木马大量银行业的企业网络中被发现，此外还针对证券、交易和payroll行业（介于人力资源和会计之间）。

虽然赛门铁克公司称，该木马出现在多个行业的企业计算机上，但几乎所有计算机均运行财务软件应用程序，从而表明该团伙的攻击动向偏向于金融财务。

Odiaff通过恶意文档传播

赛门铁克公司称，攻击者使用鱼叉式网络钓鱼电子邮件，通过精心设计的电子邮件感染目标群，其电子邮件包含恶意Word文档。

这些带有病毒的文件会安装Odinaff恶意软件。研究人员指出，这是一个相对简单的工具。

研究人员还指出，该木马的主要目的是在被感染的计算机上立足，获得引导持久性，然后下载其它恶意软件，继而实施更复杂的攻击。

赛门铁克公司称，Odinaff下载的一些工具包括Mimikatz密码转储应用程序、PsExec进程执行工具包、Netscan网络扫描器、Ammyy Admin远程桌面工具，以及作为另一用户运行进程的工具Runas。

Odinaff基础设施与先前的Carbanak攻击有关

赛门铁克公司表示，在某些情形下，Odinaff下载了Batel后门木马，这款木马曾主要由Carbanak犯罪团伙用来部署攻击。

该公司还表示，除了Batel，Odinaff还使用了与Carbanak 攻击有关的C&C服务器IP地址。另外，有一个IP地址与近期Oracle MICROS数据泄露事件有关。安全研究人员Brian Krebs称这起泄露事件的幕后黑手便是Carbanak犯罪团伙。

Odinaff曾攻击SWIFT系统

除了银行和金融企业部署的常规财务软件，Odinaff的目标似乎是SWIFT银行间交易系统—银行必须采取高级安全防护措施防护的IT系统。

研究人员表示，“赛门铁克发现的证据表明，Odinaff团伙已对SWIFT用户发起攻击，使用恶意软件隐藏欺诈交易有关的客户SWIFT消息记录。这类工具专门设计用来监控与客户某些交易有关的关键词本地消息日志，攻击者之后将这些日志从客户的本地SWIFT软件环境中移走。”

虽然Odinaff包含用C语言编写的自定义模块，用来隐藏非法SWIFT银行交易，但赛门铁克公司认为Odinaff不是近期一系列SWIFT攻击的罪魁祸首。

这些攻击的幕后黑手是Lazarus Group，他们使用名为“Banswift”的系列恶意软件发动攻击，Banswift似乎并未与Odinaff共享代码，尽管这两种恶意软件的目标都是SWIFT网络。

就这次攻击而言，用户不必提心吊胆，因为Odinaff只针对银行及银行员工，而非客户。

本文来源：E安全