一個(gè)Skype電話(huà)和一名容易上當(dāng)?shù)膯T工,就能讓朝鮮黑客入侵連接智利所有銀行ATM機(jī)的網(wǎng)絡(luò)系統(tǒng)——Redbanc。
據(jù)外媒報(bào)道,入侵Redbanc的嫌疑人是一個(gè)名為L(zhǎng)azarus Group(又稱(chēng)Hidden Cobra)的黑客組織,該組織與朝鮮政府有關(guān),是目前最活躍、最危險(xiǎn)的黑客組織之一,過(guò)去幾年的主要攻擊目標(biāo)為銀行、金融機(jī)構(gòu)和加密貨幣交易所。
Lazarus最近發(fā)動(dòng)的一次攻擊在2018年12月底,但直到上周,智利參議員Felipe Harboe在推特上指責(zé)Redbanc未向公眾告知其安全漏洞,這件事才引起公眾注意。Redbanc之后承認(rèn)了此次黑客攻擊事件的存在,但聲明中沒(méi)有提到相關(guān)細(xì)節(jié)。
智利科技新聞網(wǎng)站trendTIC調(diào)查顯示,該事件非常嚴(yán)重。據(jù)稱(chēng),此次黑客攻擊的源頭為L(zhǎng)inkedIn(全球最大職業(yè)社交網(wǎng)站,是一家面向商業(yè)客戶(hù)的社交網(wǎng)絡(luò))上的一則招聘廣告,Redbanc的員工申請(qǐng)了另一家公司招聘開(kāi)發(fā)人員的崗位。這家公司正是Lazarus Group的偽裝,他們知道自己釣到了大魚(yú)。Lazarus Group通過(guò)Skype電話(huà)聯(lián)系了這位Redbanc員工,并用西班牙語(yǔ)進(jìn)行了面試。
在面試中,Lazarus Group要求Redbanc員工下載并安裝運(yùn)行一個(gè)名為ApplicationPDF.exe的文件,稱(chēng)這是一個(gè)簡(jiǎn)化招聘流程并生成標(biāo)準(zhǔn)申請(qǐng)表的程序。
根據(jù)Flashpoint研究主管VitaliKremez的分析,下載該文件即下載并安裝了PowerRatankba。根據(jù)Proofpoint(一家網(wǎng)絡(luò)安全公司)在2017年12月發(fā)布的一份報(bào)告,PowerRatankba是一款與Lazarus Group黑客組織有關(guān)的惡意軟件。
這個(gè)惡意軟件收集了Redbanc員工工作電腦的信息,并將其發(fā)送回遠(yuǎn)程服務(wù)器。收集到的信息包括電腦的用戶(hù)名、硬件和操作系統(tǒng)細(xì)節(jié)、代理設(shè)置、當(dāng)前進(jìn)程列表(如果受感染的主機(jī)打開(kāi)了RPC和SMB文件共享)及RDP的連接狀態(tài)。黑客能通過(guò)這些信息知道感染了什么計(jì)算機(jī),然后決定是否要以更具侵入性的PowerShell腳本進(jìn)行下一步操作。
Redbanc事件說(shuō)明,一個(gè)員工點(diǎn)擊錯(cuò)誤的鏈接或運(yùn)行錯(cuò)誤的文件會(huì)導(dǎo)致重大的安全漏洞;一臺(tái)被入侵的電腦會(huì)損壞整個(gè)網(wǎng)絡(luò)。
此前,美國(guó)發(fā)布了一份起訴書(shū),指控Lazarus Group黑客試圖從智利銀行(Banco de Chile)竊取資金。
-
黑客
+關(guān)注
關(guān)注
3文章
284瀏覽量
21857 -
網(wǎng)絡(luò)系統(tǒng)
+關(guān)注
關(guān)注
0文章
85瀏覽量
25027
原文標(biāo)題:朝鮮黑客借Skype電話(huà)入侵了智利的ATM網(wǎng)絡(luò)
文章出處:【微信號(hào):EAQapp,微信公眾號(hào):E安全】歡迎添加關(guān)注!文章轉(zhuǎn)載請(qǐng)注明出處。
發(fā)布評(píng)論請(qǐng)先 登錄
相關(guān)推薦
評(píng)論