黑客组织MoneyTaker疯狂开挂：两年间从美国和俄罗斯银行窃取数千万

来自莫斯科的网络安全公司Group-IB于本周一发表了一份长达36页的报告，其间详细介绍了最新发现的一个名为“MoneyTaker”的黑客组织，该组织从2016年5月开始一直活跃至今。

研究人员表示，在2016-2017年这过去18个月中，该黑客组织已经针对各种金融机构实施了多达20多起攻击活动——成功窃取了超过1100万美元的资金以及其他可用于进一步攻击的敏感文件。据悉，这些受到影响的金融机构和律师事务所主要分布在美国、英国以及俄罗斯。 

根据Group-IB安全公司介绍称，该黑客组织主要利用卡片处理系统（包括AWS CBR——俄罗斯银行同业系统，美国SWIFT国际银行信息服务系统）的漏洞针对金融机构发动一次又一次攻击活动。

Group-IB在其报告中指出，

犯罪分子窃取了拉丁美洲及美国的200 多家银行所使用的OceanSystems美联储链接传输系统内的文件。

Group-IB还警告称，“MoneyTaker”针对金融机构的攻击活动似乎正在进行中，所以，拉丁美洲的银行可能将成为他们的下一个目标。

MoneyTaker：1.5年的无声操作

Group-IB通过对“MoneyTaker”的活动进行分析后发现，该黑客组织首次攻击发生在 2016 年5月，当时，该组织设法访问了美国银行First Data的“STAR”网络（美国最大的银行信息系统，连接了超过 5000 家机构的ATM设备），并从中窃取了大笔资金。

First Data在一份声明中表示，在 2016 年早些时候，First Data发现一些在“STAR”网络运营的小型金融机构的凭证曾违反了借记卡管理规定，导致First Data开始执行新的强制性安全数据控制措施。First Data称，“STAR”网络从未被攻破。他们正在继续调查几起黑客研究如何通过SWIFT银行系统进行转账的事件，但没有说明黑客是否成功实施了此类攻击。

而自从去年5月首次成功发起攻击后，该组织又开始将目标锁定美国加利福尼亚州、伊利诺伊州、犹他州、俄克拉荷马州、科罗拉多州、南卡罗来纳州、密苏里州、北卡罗来纳州、弗吉尼亚州以及弗罗里达州的银行机构，主要针对的是网络防御体系薄弱的小型社区银行。

在针对这些目标的大量攻击活动中，MoneyTaker组织主要使用了各种公开可用的渗透测试和黑客工具，包括Metasploit、NirCmd、psexec、Mimikatz、Powershell Empire以及在2016年俄罗斯黑客会议上作为Poc展示的代码。

除了使用开源工具之外，该黑客组织还大量使用“Citadel”和“Kronos”银行木马来交付POS端恶意软件，名为“ScanPOS”。据悉，ScanPOS能够在执行过程中抓取有关当前正在运行的进程的信息，并收集受感染系统上的用户名和权限，也就是说，它主要用于转储进程内存并搜索支付卡跟踪数据。该木马使用Luhn算法检查收集的数据进行验证，然后将其发送到C＆C服务器。

Group-IB还在其报告中指出，

该组织使用仅存在于RAM中的‘无文件’恶意软件，并在重新启动后销毁。为了确保在系统中的持久性，MoneyTaker主要依赖于PowerShell和VBS脚本——它们都很难通过防病毒软件检测到，并且易于修改。此外，为了将权限升级到本地管理员（或SYSTEM本地用户），攻击者使用标准Metasploit包中的exploit模块，或旨在绕过UAC技术的漏洞利用。有了本地管理员权限，他们就可以运用‘使用Meterpreter加载到内存中的’Mimikatz程序来提取未加密的Windows凭据。

此外，“MoneyTaker”还利用那些以知名品牌名称（包括美国银行，微软，雅虎和联邦储备银行）名义生成的SSL证书来隐藏其恶意流量。

攻击原理

Group-IB解释称，

该黑客组织的攻击原理非常简单。在控制银行网络后，攻击者会检查其是否能够连接到卡处理系统。之后，他们就可以使用‘金钱骡子（money mules）’从ATM机中提取资金。这些钱骡会提前激活卡片等待行动，攻击者在进入卡片处理系统后，就会对钱骡手中所持卡片的取款限额进行修改。之后，钱骡们就能够在不受透支限制的情况下提取现金，即便是普通的借记卡也能够透支现金。

据Group-IB公司安全研究人员表示，MoneyTake已经针对18 家银行机构发起了攻击活动，其中包括分布在美国10个州的15家银行金融机构，2家俄罗斯银行以及1家英国银行。除银行外，金融软件公司和一家律师事务所也成为了攻击目标。

Group-IB表示，在美国遭受攻击的15个ATM机上，每起被盗事件损失的资金平均为50万美元。俄罗斯每起事件平均损失为120万美元，但其中一家银行成功截获了一起攻击事件，并追回了部分被盗资金。

此外，该报告还详细介绍了一起针对俄罗斯银行的攻击，其中MoneyTaker组织使用了模块化恶意软件程序，此次攻击主要以AWS CBR（俄罗斯中央银行的自动化工作站客户端，与美国SWIFT类似的银行间资金转账系统）为目标。该模块化工具能够搜索付款订单并对其进行修改，用欺诈手段替换原始付款细节，并在完成任务后仔细清除恶意软件痕迹。
虽然目前还不清楚MoneyTaker是如何在公司网络中立足的，但在一个具体实例中我们发现，银行内部网络被成功攻破的切入点是该银行系统管理员的家用电脑。

最后，Group-IB认为，黑客现在正在寻找破解SWIFT银行间通信系统的方法，尽管最近在SWIFT系统上发生的任何网络攻击都没有发现有关MoneyTaker组织的证据。