Group-IB：俄羅斯銀行正遭遇網釣攻擊

俄羅斯資安業者Group-IB上周指出，俄羅斯的金融組織正面臨兩大駭客集團MoneyTaker及Silence的大規模網釣攻擊，駭客所寄出的郵件假冒為俄羅斯央行及俄羅斯的金融電腦緊急應變中心FinCERT，企圖引誘收信方點選附件，以植入惡意程式。

率先發動攻勢的是MoneyTaker，該駭客集團在今年10月使用了偽造的FinCERT電子郵件位址，寄出的郵件中含有5個看起來很像是官方央行文件的檔案，但其中有兩個檔案可用來下載開採模組Meterpreter Stager。

至於Silence則是在上周發動攻擊，使用假冒為俄羅斯央行的郵件位址，要求收件信詳閱郵件中附件的規定，但該附件是個壓縮檔，解壓縮之後卻會下載駭客所建立的Silence.Downloade。

由於這些郵件的內文與呈現方式都非常類似官方的標準格式，使得Group-IB不由得猜測駭客可能曾受雇於相關組織，並曾入侵銀行員工的電子郵件信箱，才會如此熟悉銀行系統及金融領域的運作，還能仿冒官方的內容格式。

利用俄羅斯央行及FinCERT名號展開魚叉式網釣攻擊的駭客集團不只上述兩家，還包括Buhtrap、Anunak、Cobalt與Lurk；例如駭客以FinCERT的名義寄出郵件給銀行員工，宣稱是代替央行提出資訊分享的安全警告，且模仿得維妙維肖，只是夾帶了惡意程式。

這些鎖定金融組織的駭客集團通常是在尋找金融系統的網路架構漏洞，一但成功進駐，就可執行攻擊，並藉由ATM、金融卡交易或是銀行間的轉帳盜走金錢。