俄罗斯黑客组织Lurk与Angler与Necurs僵尸网络之间存在关联

许多安全专家怀疑,俄罗斯警方5月底逮捕黑客组织Lurk与之后钓鱼攻击工具包Angler Exploit Kit不明所以的停止更新之间存在关联。

Lurk黑客团伙被捕及随后的“巧合”

5月底,俄罗斯政府宣布,抓获涉嫌窃取4500万美元的黑客团伙,涉案人数多达50人,该网络犯罪组织名为Lurk,从2011年成型,开始攻击目标为一些组织和用户,大概在一年半之前,将目光转向银行,一共从银行和其他金融机构以及企业共盗窃超过4500万美元。

而就在逮捕发生一周后,一些安全公司宣布:Angler——世界上最先进的EK忽然停止更新,销声匿迹。

随后一周,Necurs僵尸网络也停止所有活动,但是最终于3周后重新复活,恢复运行。

Lurk、Angler和Necurs 僵尸网络之间的关联

Cisco的 Talos 小组表示:

所有的停止运作行为都不是偶然的!此3者间存在共同纽带。

Lurk银行木马使用的125C&C服务器,85%的都是一个使用john[.]bruggink@yahoo[.]co[.]uk的电子邮件地址的人注册的。

关于Lurk木马

Lurk木马是一种复杂的、通用的、多模块的多功能恶意软件,能够获取受害者计算机的访问权限。Lurk木马非常独特,它的恶意代码不会存储在受害者的计算机中,而是在随机访问存储器(RAM)中。

在去年2月发表的一项研究中,同样的电子邮件地址在一场网络犯罪活动中被用于注册Angler payload delivery domains,传播Bedep恶意软件。

2月份的研究报告还发现,同样的电子邮件地址还注册了一小部分用于Necurs僵尸网络的C&C服务器的域名。

  Lurk黑客团队与犯罪软件

虽然Necurs僵尸网络最终复活了,但是Angler并没有。Necurs的重现可能与它是传播Dridex银行木马和Locky勒索软件最大的来源这一事实有关,Necurs的复活行为可能由不同的团队共同操作完成的。

不同的网络犯罪集团之间存在联系和合作,就如同合法企业之间的合作伙伴关系一般。虽然Dridex操纵者花费了大约3周的时间来处理Lurk团队被捕后引发的系列问题,但他们最终还是设法恢复了Necurs,这一传播Dridex银行木马和Locky勒索软件的僵尸网络。

john[.]bruggink@yahoo[.]co[.]uk这一电子邮件地址并没有清晰的展现各种不同的恶意软件之间的关联,但是它更像是一个根源。当俄罗斯当局将其公布之后,他们偶然发现了Angler 和 Lurk团伙之间的关联,但并没有直接发现与Necurs僵尸网络的关联,只是记录下了一些相关的服务器。

接下来,留给俄罗斯当局的重任就是铲除Dridex犯罪网,这一被认为是世上最专业、组织有序的网络犯罪网。

关于Dridex

Dridex这个名字是在2014年才慢慢形成的,并且还被认为是Gameover Zeus (GoZ)、Feodo、Cridex、 Bugat等的继承者,运用多种技术来窃取用户的私人敏感信息和金融信息,并用于欺诈犯罪。

Dridex的散播方式主要是垃圾邮件,附件是一个伪造Microsoft word文档。目标银行主要位于美国、罗马尼亚、法国、英国等。

====================================分割线================================

本文转自d1net(转载)

时间: 2024-09-23 10:04:36

俄罗斯黑客组织Lurk与Angler与Necurs僵尸网络之间存在关联的相关文章

深度剖析俄罗斯黑客组织APT29的后门

本文讲的是深度剖析俄罗斯黑客组织APT29的后门,POSTSPY最大程度的利用了内置于Windows系统中的特性来设置隐蔽的后门,这些特性被称为"living off the land"(意思是入侵者使用系统凭据和合法的软件管理工具访问系统,感染和收集有价值的数据).POSHSPY使用WMI来存储后门代码,使其对不熟悉WMI机制的人不可见.PowerShell只有在合法系统过程能被执行,如果是恶意代码执行,能通过加强日志分析或者内存就可以发现. POSHSPY中的特点,如罕见的后门信标

俄罗斯黑客组织Gamaredon携最新武器回归,攻击目标还在搜索中

本文讲的是俄罗斯黑客组织Gamaredon携最新武器回归,攻击目标还在搜索中,根据外媒报道称,俄罗斯黑客组织Gamaredon回归,并在最新的网络间谍活动中使用定制开发的新型恶意软件. Palo Alto Networks公司的安全研究人员表示,名为"Gamaredon"的俄罗斯黑客组织在最新针对乌克兰政府.军事及执法机构的网络间谍活动中使用了一款定制开发的新型恶意软件. Gamaredon APT组织首次出现于2013年,去年LookingGlass的研究人员追踪了一场名为"

俄罗斯黑客组织APT 29对挪威政府发动网络攻击,目的不是干预大选

本文讲的是俄罗斯黑客组织APT 29对挪威政府发动网络攻击,目的不是干预大选, 近日,挪威外交部.情报部.国家辐射防护局.工党议会以及一所学校受到了俄罗斯黑客组织APT 29的网络钓鱼攻击.挪威官方称尚未有敏感数据泄露. 挪威情报部门长官Arne Christian Haugstoyl在当地电视频道TV2的一次采访中提到: 我们的一个同盟国告知了我们正在被攻击,调查之后,发现我们情报部门的9个不同电子邮箱都受到了恶意钓鱼网络攻击,目前攻击的目的还不清楚. APT 29攻击挪威不是因为选举 挪威的

俄罗斯黑客组织公布第6批涉药名单 福原爱在列

10月3日,俄罗斯黑客组织"奇幻熊"在其官方网站更新第六批获得服药豁免权的运动员名单,其中包括澳大利亚游泳名将西姆博和日本乒乓球运动员福原爱.   在最新名单中,共有20名运动员获得服药豁免权,其中日本.美国各三人,瑞典.新西兰各两人,阿根廷.澳大利亚.巴西.加拿大.哥伦比亚.德国.法国.英国.委内瑞拉和南非各一人.     澳大利亚游泳名将艾米丽·西姆博被爆出服用强的松,一种肾上腺皮质激素类药物.1992年出生的西姆博在世界女子泳坛100米/200米自由泳项目中占统治地位,但在201

德国官员称俄罗斯黑客组织APT28去年对其发动网络攻击

上周五,德国高级官员向路透社透露,德国去年阻止了两起APT28组织发起的网络攻击.APT28又名花式熊.Fancy Bear.Pawn Storm.Sednit.Sofacy和Strontium.美国网络安全公司FireEye认为,APT28是俄罗斯政府幕后支持的黑客组织,专攻军事机构和情报机构. 德国官员称俄罗斯黑客组织APT28去年对其发动网络攻击 - E安全 APT28在曾对德国发起多次网络攻击德国联邦信息安全局(BSI)局长阿恩·肖恩波姆表示,第一起攻击发生在2016年5月,黑客企图为总

俄罗斯黑客Alexander Tverdokhlebov由于运营银行木马僵尸网络,被判9年监禁

本文讲的是俄罗斯黑客Alexander Tverdokhlebov由于运营银行木马僵尸网络,被判9年监禁, 29岁的Alexander·Tverdokhlebov之前是俄罗斯人,现如今生活在洛杉矶并且已经成为了美国公民,但最近他却由于运营银行木马僵尸网络,从受害者银行账户窃取钱财,被判处9年徒刑. 根据法庭文件显示,Tverdokhlebov从2008年就开始了他的网络犯罪生涯,并在多个俄罗斯地下论坛活跃.美国当局表示,Tverdokhlebov利用他新建立的人际关系,向他们提供非法服务以及盗取

俄罗斯支持的DNC黑客组织对华盛顿智库发起攻击

据国防部官员透露,上周一个由俄罗斯所支持的黑客组织攻击了位于华盛顿,重点关注俄罗斯的智库团,该机构还曾是攻击民主党计算机网络的成员之一.犯罪者所在小组称为COZY BEAR,或APT29,根据两大网络安全公司之一的CrowdStrike创始人Dmitri Alperovitch的发言,DNC黑客组织需要对此次袭击事件负责. CrowdStrike发现了来自DNC的攻击并为智库提供安全服务. Alperovitch表示少于五个组织机构和10名研究俄罗斯的工作人员遭受到来自"极具针对性行动"

疑似俄罗斯APT黑客组织“蜻蜓”入侵美国电网

本文讲的是疑似俄罗斯APT黑客组织"蜻蜓"入侵美国电网, 我们遭遇的下一次珍珠港事件很有可能是一次网络攻击,让我们的电力系统.电网.安全系统.金融体系和政府体系都陷入瘫痪. --美国国防部长利昂•帕内塔(Leon Panetta) 在黑客攻击关键基础设施的年代,电力公司网络上任何恶意软件感染事件都足以引起恐慌.但现实是,这种针对电力网络的渗透活动正在进一步加剧:近日,安全公司赛门铁克警告称,一系列新的黑客攻击活动不仅能够损害美国和欧洲的能源公司,还允许攻击者获得访问电网系统的权限,进而

揭秘|攻击美国政府系统的俄罗斯黑客

俄罗斯政府保护下的两队高技术黑客正蠢蠢欲动,他们的目标:西方民主机构和俄罗斯的政治对手. 网络安全专家和情报部门官员向媒体透露:入侵民主党电脑.世界反兴奋剂组织管理系统,泄露前国务卿科林·鲍威尔私人邮件和奥运选手医疗资料的黑客,正在进行一场俄罗斯支持下的网络谍战和破坏行动. 国家雇佣军他们已开始将其技术能力应用到地缘政治方面. 麦卡利亚2000年代早期就认识这些黑客中的大多数,他自己也是其中之一.自从转变为白帽子,他现在的工作是对俄罗斯黑客的网络攻击进行调查--有时候是为意大利政府. 身为网络安