今年夏初,卡巴斯基实验室协助执法机关逮捕了Lurk网络犯罪组织的部分犯罪嫌疑人
今年夏初,卡巴斯基实验室协助执法机关逮捕了Lurk网络犯罪组织的部分犯罪嫌疑人。据称,Lurk网络犯罪组织从一些公司以及俄罗斯银行窃取了超过4500万美元。这是近年来被抓住的最大的金融网络犯罪组织。但是,Lurk组织所参与的不仅有网络犯罪行为。根据对Lurk恶意软件幕后的IT基础设施进行分析,我们发现该犯罪组织还在开发漏洞利用工具,并将其出租给其他网络罪犯。他们所开发的Angler漏洞利用工具是一套恶意程序集合,能够利用常见软件漏洞,在计算机上静默安装恶意软件。
多年以来,Angler漏洞利用工具一直是黑客能够通过地下渠道获得的最强大的攻击工具之一。Angler恶意工具的使用最早可以追溯到2013年末,但是就已经出现了这种恶意工具的出租服务。多个参与传播不同类型恶意软件的网络犯罪组织都使用了这种恶意工具,传播的内容从广告软件到网银恶意软件再到勒索软件等都有。尤其值得注意的是,CryptXXX勒索软件幕后的犯罪组织就使用了这种漏洞利用工具,而这种威胁是最为活跃和危险的勒索软件威胁之一,其他还包括TeslaCrypt等。Angler还被用于传播Neverquest网银木马,这种木马对近100家不同的银行发动了攻击。Lurk网络犯罪组织的成员被捕后,Angler的租赁业务立刻遭受影响。
正如卡巴斯基实验室按专家的研究所示,Lurk网络犯罪组织开发Angler漏洞利用工具的目的最初只有一个,就是为自己提供可靠和高效的恶意软件传播渠道,让自己开发的网银恶意软件对计算机实施攻击。作为一个封闭性组织,Lurk试图累积对自己的关键基础设施的控制,不会同其他犯罪组织一样,将自己的部分基础外包出去。但是从2013年开始,情况发生了变化,该犯罪组织开始开放自己的基础设施服务,任何人只要肯出钱,都可以购买他们的工具。
“我们认为Lurk犯罪组织之所以决定开放Angler工具,部分原因是需要支付账单。他们开放Angler租赁服务时,其主营“业务”――即网络抢劫各类组织的盈利性急剧下降,部分原因是远程银行系统软件开发商部署了一系列安全措施。这使得Lurk组织窃取资金变得更为困难。这时候,Lurk组织已经有量大量网络基础设施和大量的“员工”,开支也很大。所以,他们决定拓展自己的业务,并且从某种程度来说,的确成功了。Lurk的网银木马只对俄罗斯的金融组织和企业造成威胁,但是Angler被用于针对全球的用户进行攻击,”计算机事故调查部门主管Ruslan Stoyanov解释说。
Angler漏洞利用工具的开发和支持并不是Lurk犯罪组织所参与的唯一副业。在超过五年的活动期内,该组织最初开发强大的恶意软件,通过远程银行服务软件自动窃取资金,之后改为从事复杂的涉及SIM卡替换的诈骗钱财活动以及攻击熟悉银行内部基础设施的专业人员等活动。
卡巴斯基实验室监控了这一时期Lurk组织的所有行动,并将其记录在册。
要了解更多关于卡巴斯基实验室如何在过去五年研究Lurk组织的行为,请浏览Ruslan Stoyanov撰写的专题文章,地址Securlist.com
要了解更多详情,请访问:The Lurk financial cybercrime group: What businesses can learn.
