×
carbanak-fin7.png
Källkoden för ett av världens mest farliga malware stammar har laddats upp och kvar finns på VirusTotal för två år, och nästan ingen har märkt.
Den upptäcktes av säkerhet forskare från AMERIKANSKA it-säkerhetsföretaget FireEye, analyseras under de senaste två åren, och som offentliggörs i dag, så att andra medlemmar av it-säkerhet i samhället kan också dra nytta av företagets hitta.
Malware som stal 1 miljard euro
Källkoden är för Carbanak skadlig kod, en bakdörr trojan som är FIN7 gäng, också känd under namnen Carbanak, Anunak, eller Kobolt-Gruppen.
FIN7 är en av världens farligaste och mest produktiva hacker grupper som hittills är kända, är ansvariga för att hacka och stölder från banker och finansiella institutioner i mer än 1 miljard euro.
Den Carbanak bakdörr är koncernens andra generationens malware stam, som de utvecklat och som används som deras primära verktyg till stöd i intrång på bankernas nätverk.
2013 – 2014 – som utvecklats och används Anunak malware och riktade främst finansiella institutioner och ATM-nät.2014 – 2016 – som utvecklats och används Carbanak skadlig kod, en nyare och mer avancerad version av Anunak.2016 – 2017 – utvecklat egna skadlig kod med hjälp av Kobolt Strike, ett legitimt penetrationstester ram.
FIN7 oftast drivs genom att infektera bank anställda med Carbanak skadlig kod, som de använde som en pivot punkt inuti äventyras nätverk tills gruppen fått tillgång till känsliga system som kan användas för att överföra pengar från en bank konton eller iscensätta samordnad ATM cash-outs.
Carbanak källkoden är en stor upptäckt
Över åren, den säkerhetsforskare som kallades in för att undersöka FIN7 attacker har oftast fått sina händer på Carbanak skadlig kod, men bara kompilerade versionen, som är svåra att analysera och förstå.
Men saker och ting förändrats i April 2019 när FireEye säkerhet forskaren Nick Carr finns två arkiv som laddats upp på VirusTotal malware scanning portal som innehöll Carbanak källkod.
Jag måste erkänna, detta @virustotal hitta kommer att bli svårt för mig till toppen.
Detta CARBANAK arbete var i aktiv utveckling när whoopsed till VT 🤷🏻♂️ från RU 🇷🇺 på 2017-04-19.
kb3r1p.rar
879 filer (15.03 MB)https://t.co/XqZVJrgijrapwmie.rar
24-filer (5.93 MB)https://t.co/wgTePTqJdt— Nick Carr (@ItsReallyNick) 22 April, 2019
De två filer som laddas upp från en rysk IP-adress, som visade sig vara the real deal, och har hjälpt FireEye bättre förstå FIN7 är skadlig programvara, även om den tiden, hade koncernen övergått till att använda Kobolt Strike-baserade verktyg.
Enligt Carr, två arkiv innehöll skadlig kod som är full källkod, tillsammans med tidigare osedda plugins, totalt över 100 000 rader kod.
“Med källkod låter som att fuska-läge för malware analys. Ja, källkoden innehåller mycket information som går förlorad genom kompilering och länkning process,” säger FireEye säkerhet forskare Michael Bailey och James T. Bennett.
Företaget har idag offentliggjort ett första blogginlägg i en fyra-serie som kommer att analysera Carbanak källkoden i större detalj.
Intressant inblick i den kodning av skadlig kod och hur långt de går för att – mer än den genomsnittliga script kiddies. https://t.co/wpSBWBYK12
— John Baxendale (@Siftah) 22 April, 2019
FIN7 gäng arresteringar och aktuell aktivitet
Den ursprungliga FIN7 (Carbanak) gruppen existerar inte längre. Europol spårades och greps med gänget i ledare i Spanien, i Mars 2018, och ukrainska polisen grep tre andra misstänkta några månader senare, i augusti 2018.
Gripandena har inte avskräckt FIN7 övriga ledamöter, dock. Flera källor i it-säkerhetsbranschen har rapporterats under det senaste året att FIN7 gruppen verkar ha delades in i mindre grupper, som fortfarande inriktning på banksektorn även idag [1, 2, 3, 4].
I juli 2018, det var ett falskt alarm att Carbanak kod läckt ut på det numera nedlagda Mal3all hacking forum. Efter ytterligare analys visade det sig att det läckt ut källkoden var RatoPak malware, som tillhörde Corkow grupp, en annan it-brottslighet gäng som mål banker och fungerar på samma modell som används av Carbanak sätt tillbaka 2014.
Relaterade skadliga program och it-brottslighet täckning:
Skadliga annonser kampanj missbruk Chrome för iOS-bugg för att rikta iPhone usersCyber-säkerhetsföretaget Verint drabbats av ransomwareReveton ransomware distributör dömdes till sex års fängelse i UKScranos rootkit expanderar verksamheten från Kina till resten av worldSecurity forskare MalwareTech vädjar guiltySource code of Iranian cyber-spionage verktyg som läckt ut på TelegramHow för att undvika att dokument-baserade attacker malware TechRepublicGame of Thrones har de mest skadliga av alla piratkopierade TV-show CNET
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter