年度盘点 | 2020重大网络安全事件 · 金融篇

金融行业一直是网络攻击的重点目标，攻击者通过 DDoS 攻击、漏洞、勒索软件、木马病毒等手段对各大金融机构发起攻击，窃取敏感数据，进行金融诈骗。2020年，全球多个银行机构发生数据泄露事件。此外，随着数字加密货币的兴起，各大加密货币交易所也成为网络攻击的重灾区。

2020年2月，澳大利亚网络安全中心 ACSC 发布报告称针对澳大利亚机构（主要是银行等金融部门）的一些勒索性的拒绝服务威胁正在出现。自称 Silence 的攻击团伙发送勒索邮件给金融部门，称如果不支付一定量的门罗币（一种虚拟货币），将对收件方进行持续的 DDoS 攻击。目前，ACSC 尚未收到有关方遭受 DDoS 攻击的报告。自2019年10月，此类以 DDoS 攻击为威胁的勒索活动开始盛行，新加坡和南非银行也曾遭遇相似勒索，勒索方自称 Fancy Bear、Anonymous、Carbanak 等已知黑客团伙。根据以往情报分析，该团伙除了DDoS攻击方式外，还会向银行员工发送包含恶意软件的网络钓鱼电子邮件。恶意软件进入银行的安全区域并沉默一段时间，通过捕获屏幕快照，并在受感染的设备上进行日常活动的录像，来收集攻击目标的信息，了解目标银行的工作方式。一旦攻击者准备采取行动，他们就会激活恶意软件所有功能。

参考链接：

2020年5月，Maze 勒索软件运营者在其网站上多次公开了从哥斯达黎加银行（Banco BCR）窃取的信用卡数据，并威胁会泄露更多的数据，目前已经公开了两个 CSV 文件，大小分别为1.9GB和2GB，相关数据已经得到验证。Maze 运营者声称在过去的8个月里两次攻陷 Banco BCR，并在加密勒索之前泄露了超过1100万张信用卡凭证，其中超400万为唯一的，其中约有14万属于美国公民。Banco BCR 则否认遭到数据泄露。

参考链接：

近期，微步在线通过威胁狩猎系统捕获到 Lazarus 组织在 MacOS 平台上使用的多种类型的后门木马，与针对加密货币的攻击活动相关。该组织在 MacOS 平台上攻击活跃，开发并持续更新使用多种类型的后门木马。Lazarus组织不仅会跨平台（WindowsLinux）复用已有的后门木马，也使用 Objective-C 开发适用于 MacOS 平台的后门木马，该组织使用的后门木马加密流量特征，包括JA3 特征和证书。自2019年下半年开始，Lazarus 组织在 MacOS 平台上的攻击活动迅速增加，所使用的基本都是在 Windows 和 Linux 平台上的木马快速移植版。从今年上半年开始，则已经使用了专为 MacOS 平台开发的木马版本。于此同时，他们并未放弃快速移植版木马的使用，而且这些版本的木马还在持续更新，这值得持续关注。

参考链接：

https://x.threatbook.cn/nodev4/vb4/article?threatInfoID=2794

近日，微步在线监测发现“危险密码”APT组织针对国内外企业金融交易相关业务的定向攻击活动，本批次鱼叉式网络攻击事件中，投递载荷均为LNK文件，在自释放（或通过谷歌在线文档下载）诱饵文档后，远程下载执行具有后门功能的 JavaScript 恶意代码。攻击活动中使用的诱饵文件包括中文类型的“奖金计划（2020 年 7 月).docx”、奖金计划（2020 年8 月).docx”以及“Project Management Plan.pdf”等。相关企业包括然健环球（中国）日用品有限公司（NHT Global）、美国密苏里大学堪萨斯分校（UMKC）。推测本次攻击时间段为 2020 年 6 月下旬至今。

同期，芬兰安全公司 F-Secure 对“危险密码”APT 组织追踪发现，JavaScript 后门在后续会通过一段 C2 下发的 PowerShell 下载最终的二进制木马，木马与卡巴斯基曾披露的 Bluenoroff（Lazarus 组织的一个分支）组织所使用的特马高度相似，由此可以推测，微步在线所披露的“危险密码”APT 组织与 Bluenoroff 组织存在一定关联，结合其特定的攻击目标、攻击目的来看，“危险密码”APT 组织极有可能为 Lazarus APT 组织的一个分支机构。

参考链接：

近期，国外安全研究员披露，具有朝鲜背景的 Lazarus APT 组织与说俄语的高级网络犯罪团伙有密切合作。对 Lazarus 长期追踪发现，该组织通过讲俄语的团伙拿到金融机构的访问权限，一旦入侵成功将按比例分割“赃款”。

不久前，还发现 Lazarus 组织利用 Crat 木马对韩国房地产、金融公司进行 APT 攻击，主要攻击目标为韩国国内交易比特币的多名官员以及金融机构员工。主要攻击手段是向受害者投递含有恶意载荷的钓鱼邮件，这些附件文档看似是与房地产、证券信息相关的正常文档，实际上携带 Cart 木马，一旦受害者打开，受害者的计算机将被攻击者掌控、窃密。

Lazarus 不仅仅以金融、房地产相关信息为诱饵攻击敛财，该组织近几个月还常用航天，核工业，船舶工业等专业领域头部企业招聘信息为诱饵进行攻击活动。根据对最新攻击样本分析，该组织以通用公司高级业务经理招聘为诱饵，当受害者打开文档，初始文档无法查看诱饵，攻击者通过这种方式诱导受害者启用宏，从而通过恶意宏释放执行后续载荷实现攻击。

近几周经披露，该组织根据数字货币从业者常用的开源软件，定制了一批嵌入了恶意代码的软件工具包，然后冒充行业人士进入了数字货币行业的社交圈，在骗取目标人物的信任后，通过 IM 等社交工具投递目标受害者常用的恶意软件工具包展开攻击。

参考链接：

微步在线监测发现，Evilnum APT 组织在其武器库中增加了一种新的基于 Python 的远程访问特洛伊木马 PyVil，该种木马可以窃取密码、文档、浏览器Cookie、电子邮件凭据和其他敏感信息。PyVil 支持包括运行 CMD 命令、截屏、下载、删除、上传、收集各种信息等多种功能，其主要的攻击手段为利用 KYC（充分了解你的客户规则）进行邮件钓鱼。攻击者将恶意链接托管在云服务供应商上，以逃避电子邮件过滤器和安全防护产品的检测，当受害者点击链接后会下载一个包含木马程序的压缩文件，木马程序使用信用卡、驾照、护照和水电费等图像，诱使用户点击从而运行木马，木马程序运行后将会进行窃取受害者的信息，或者执行任意命令等操作。这种战术与工具上的优化，使得该恶意组织难以被追踪。

参考链接：

近期，总部位于新加坡的加密货币交易所 KuCoin 披露了一次重大安全事件，黑客入侵了其热钱包，并偷走了大约价值1.5亿美元的加密货币。KuCoin 于9月26日发现安全漏洞，当时其员工注意到从其热钱包中提取了一些大笔款项，该交易所立即调查了异常操作，发现了比特币资产，基于ERC-20的代币以及其他加密货币的网络抢劫。根据转移了被盗资金的 Etherium 地址，黑客窃取的资金总额超过1.5亿美元。

参考链接：

近日，加密货币借贷服务公司 Akropolis 遭到“闪电贷”攻击，黑客窃取了价值约 200 万美元的 Dai 加密货币。Akropolis 管理员已暂停了平台上的所有交易，以防止损失扩大。闪电贷攻击是针对运行 DeFi（去中心化金融）平台的加密货币服务的常见攻击方式，这类平台允许用户使用加密货币借款或贷款，投机价格变化，并从加密货币储蓄的账户中赚取利息。闪存贷攻击是黑客从 DeFi 平台（如 Akropolis）贷款时，利用平台代码中的漏洞来逃避贷款机制并窃走资金。今年 2 月以来，此类攻击的数量一直在增加，其中最大的一次攻击发生在10月，黑客从DeFi 服务公司 Harvest Finance 窃取了价值 2400 万美元的加密货币。

参考链接：

TSYS 是北美第三大金融机构的第三方支付处理器，也是欧洲的主要处理器。TSYS 提供支付处理服务、商业服务和其他支付解决方案，包括预付借记卡和工资卡。12 月 8 日， Conti 勒索软件团伙（也称“Ryuk”）发布消息称其从 TSYS 网络中删除了超过 10G 的数据，并声称到目前为止公布的数据只占他们在 TSYS 内部引爆勒索软件之前从该公司卸载的信息的 15%。TSYS 回应确认遭到攻击，但表示此次攻击并没有影响支付卡处理系统，并且已立即遏制了可疑活动，业务运行正常。

参考链接：

“2020全球重大网络安全事件盘点之互联网篇”将于下期发布，敬请持续关注。