Group-IB：俄罗斯银行正遭遇网钓攻击

俄罗斯资安业者Group-IB上周指出，俄罗斯的金融组织正面临两大骇客集团MoneyTaker及Silence的大规模网钓攻击，骇客所寄出的邮件假冒为俄罗斯央行及俄罗斯的金融电脑紧急应变中心FinCERT，企图引诱收信方点选附件，以植入恶意程式。

率先发动攻势的是MoneyTaker，该骇客集团在今年10月使用了伪造的FinCERT电子邮件位址，寄出的邮件中含有5个看起来很像是官方央行文件的档案，但其中有两个档案可用来下载开采模组Meterpreter Stager。

至于Silence则是在上周发动攻击，使用假冒为俄罗斯央行的邮件位址，要求收件信详阅邮件中附件的规定，但该附件是个压缩档，解压缩之后却会下载骇客所建立的Silence.Downloade。

由于这些邮件的内文与呈现方式都非常类似官方的标准格式，使得Group-IB不由得猜测骇客可能曾受雇于相关组织，并曾入侵银行员工的电子邮件信箱，才会如此熟悉银行系统及金融领域的运作，还能仿冒官方的内容格式。

利用俄罗斯央行及FinCERT名号展开鱼叉式网钓攻击的骇客集团不只上述两家，还包括Buhtrap、Anunak、Cobalt与Lurk；例如骇客以FinCERT的名义寄出邮件给银行员工，宣称是代替央行提出资讯分享的安全警告，且模仿得维妙维肖，只是夹带了恶意程式。

这些锁定金融组织的骇客集团通常是在寻找金融系统的网络架构漏洞，一但成功进驻，就可执行攻击，并借由ATM、金融卡交易或是银行间的转账盗走金钱。