目前,日本东京警察部门和 络犯罪控制中心已经向日本市民发布了恶意电子邮件攻击的警告。之后,研究人员将调查关注点放在了用于发送恶意电子邮件的僵尸 络和用于托管恶意代码的web服务器上,确定了该银行木马用于各目标国家(包括日本和一些欧洲国家)的分销 络结构。
以下为分销 络结构的主要发现:
安全研究人员发现,攻击者将恶意文件复制到多个服务器中使其造成基础设施冗余,在2015年4月—2017年1月间,共在74种不同的服务器上发现超过200份这样的恶意文件。它们中大多数来自欧洲的个人或中小企业 站,这些 站大多已经很久没有维护了。
日本Ursnif感染向量的分析结果
【图2:感染步骤】
【图4:日本恶意电子邮件正呈增长趋势】
为了了解垃圾邮件僵尸 络的 络活动,我们随机抽取了200个独特的用来发送Shiotob的日本IP地址并调查究竟这些邮件发送了什么内容。结果发现,在2016年发送的268000封邮件样本中,除了Shiotob之外还有将近250种恶意程序被发送(详见图5)。
【表1:目标和电子邮件特征】
恶意软件托管服务器
接下来,我们开始寻找垃圾邮件发送过程中使用的恶意软件托管Web服务器。我们很快意识到,攻击者通过在多个服务器上复制威胁文件使其基础架构冗余。例如,他们将恶意文件放在服务器A和B上,另一个文件放在服务器B和C上(图6所示)
【图7 :Web服务器的地理位置】
图8显示了在Web服务器上发现的恶意软件的详细信息以及基于我们的遥测下载的恶意软件(表2)。
【表2 :Web服务器上发现的恶意软件种类】
服务器和恶意文件之间的完整关系图如下所示(图9)。
【图9:服务器和恶意文件之间的关系】
结论
部署此类银行木马的攻击者主要利用的是垃圾电子邮件僵尸 络及受损的web服务器。目前尚不清楚是否该攻击群体利用基础设施和多种威胁攻击了多个国家,或者是否有许多威胁主体共享它们。
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!