×
carbanak-fin7.png
De broncode van één van ‘ s werelds meest gevaarlijke malware stammen werd geupload en beschikbaar is op VirusTotal voor twee jaar, en bijna niemand is opgevallen.
Het werd ontdekt door de onderzoekers van de veiligheid van ONS cyber-beveiligingsbedrijf FireEye, geanalyseerd voor de afgelopen twee jaar, en openbaar gemaakt vandaag, zodat andere leden van de cyber-security gemeenschap kan ook profiteren van het bedrijf vinden.
De malware die stal €1 miljard
De broncode is voor de Carbanak malware, een trojaans paard dat is het werk van de FIN7 bende, ook bekend onder de namen van Carbanak, Anunak, of de Cobalt Groep.
FIN7 is één van ‘ s werelds gevaarlijkste en meest productieve hacker groepen bekend-to-date is verantwoordelijk voor inbraken en diefstallen van banken en financiële instellingen van meer dan €1 miljard.
De Carbanak backdoor is de groep van de tweede generatie malware stam, die ze ontwikkeld en gebruikt als hun belangrijkste hulpmiddel voor aanvallen op banken’ netwerken.
2013 – 2014 – ontwikkeld en gebruikt Anunak malware en waren vooral gericht op financiële instellingen en ATM-netwerken.2014 – 2016 – ontwikkeld en gebruikt Carbanak malware, een nieuwere en meer geavanceerde versie van Anunak.2016 – 2017 – ontwikkeld aangepaste malware met behulp van Kobalt Staking, een legitieme penetration testing framework.
FIN7 meestal gebruikt door het infecteren van medewerkers van de bank met de Carbanak malware, die ze gebruikt als een scharnierpunt in het gedrang netwerken tot de groep om toegang te krijgen tot gevoelige systemen die kunnen worden gebruikt om geld van een bank rekeningen of orkestreren gecoördineerd ATM cash-outs.
Carbanak source code is een grote ontdekking
Door de jaren heen, de beveiligingsonderzoekers die werden genoemd om te onderzoeken FIN7 aanvallen hebben meestal hun handen op Carbanak malware, maar alleen de gecompileerde versie, die moeilijk te analyseren en te begrijpen.
Echter, zijn de dingen veranderd in April 2019 wanneer FireEye security-onderzoeker Nick Carr twee archieven geupload op de VirusTotal voor het scannen op malware portal die Carbanak de broncode.
Ik moet toegeven, deze @virustotal vinden is moeilijk voor me om top.
Dit CARBANAK werk is in actieve ontwikkeling als whoopsed naar VT 🤷🏻♂️ van RU 🇷🇺 op 2017-04-19.
kb3r1p.rar
879 bestanden (15.03 MB)https://t.co/XqZVJrgijrapwmie.rar
24 bestanden (5.93 MB)https://t.co/wgTePTqJdt— Nick Carr (@ItsReallyNick) 22 April 2019
De twee bestanden zijn geüpload vanaf een russische IP-adres, het bleek te zijn de real deal, en hebben geholpen FireEye beter te begrijpen FIN7 ‘ s malware, zelfs als het tegen die tijd had de groep overgestapt op het gebruik van Kobalt Strike-gebaseerde tools.
Volgens Carr, de twee archieven opgenomen van de malware de volledige broncode, samen met ongeziene plugins, die in totaal meer dan 100.000 regels code.
“Het hebben van de broncode klinkt als de cheat-mode voor malware-analyse. Inderdaad, source code bevat veel informatie die verloren is gegaan door het compileren en linken van proces,” zei FireEye security onderzoekers Michael Bailey en James T. Bennett.
Het bedrijf publiceerde vandaag een eerste blog post van een vier-delige serie die zal het analyseren van de Carbanak bron-code in meer detail.
Interessant inzicht in de codering van malware en de lengtes gaan ze te – meer dan de gemiddelde script kiddie. https://t.co/wpSBWBYK12
— John Baxendale (@Siftah) 22 April 2019
FIN7 bende arrestaties en huidige activiteit
De oorspronkelijke FIN7 (Carbanak) groep niet meer bestaat. Europol opgespoord en gearresteerd de bende leider in Spanje, in Maart 2018, en oekraïense politie arresteerde drie andere verdachten, een paar maanden later, in augustus 2018.
De arrestaties nog niet afgeschrikt FIN7 de andere leden, dat wel. Meerdere bronnen in de cyber-security-industrie hebben gemeld over het afgelopen jaar dat de FIN7 groep lijkt te hebben uiteengevallen in kleinere bendes, die zijn nog steeds gericht op de bancaire sector zelfs vandaag de dag [1, 2, 3, 4].
In juli 2018, er was een vals alarm dat de Carbanak code gelekt op de nu ter ziele gegane Mal3all het hacken van een forum. Na verdere analyse bleek dat de gelekte source code is de RatoPak malware, die behoorde tot de Corkow groep, een andere cyber-misdaad-bende die zich richt banken en werkt op dezelfde model opgezet door Carbanak manier terug in 2014.
Gerelateerde malware en cybercriminaliteit dekking:
Malvertising campagne misbruik van Chrome voor iOS bug tot doel iPhone usersCyber-beveiligingsbedrijf Verint getroffen door ransomwareReveton ransomware distributeur veroordeeld tot zes jaar in de gevangenis in de UKScranos rootkit breidt activiteiten uit China naar de rest van de worldSecurity onderzoeker MalwareTech pleit guiltySource code van de Iraanse cyber-spionage-tools gelekt op TelegramHow om te voorkomen dat document-gebaseerde malware-aanvallen TechRepublicSpel der Tronen heeft de meeste malware van illegale TV-show CNET
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters