最近的恶意软件攻击波兰银行与更广泛的黑客攻击竞选活动

最近将波兰银行部门的恶意软件攻击是关于来自30多个国家的金融组织的更大竞选活动的一部分。

Symantec和Bae Systems的研究人员将最近发现的Polish攻击中使用的恶意软件联系起来，以自10月份在其他国家/地区以来发生的类似攻击。作为Lazarus的安全行业已知的一组攻击者使用的工具也存在相似之处。

黑客受到兴趣对其最终目标感兴趣的网站，这是一种称为浇水孔攻击的技术。然后，他们将代码注入到将访问者重定向到自定义漏洞套件的网站中。

Exploit套件包含用于Silverlight和Flash Player中的已知漏洞的利用;只有从特定范围内获得互联网协议地址的访问者仅激活漏洞。

“这些IP地址属于位于31个不同国家的104个不同组织，”赛门铁克的研究人员在星期天的一篇博客文章中表示。“绝大多数这些组织都是银行，少数电信和互联网公司也在名单上。”

就有针对性的波兰银行而言，它涉嫌恶意代码在波兰金融监管机构的网站上托管，该部门为银行业的政府监督管理部门。BAE系统的研究人员发现了指向自定义Exproit套件的类似代码出现在11月国家银行和墨西哥股票委员会的网站上。这是墨西哥相当于波兰金融监督权。

根据BAE系统，也在该南美国家最大的国有银行Banco delahogública东方德尔乌拉圭的网站上找到了相同的代码。

包含在目标IP地址列表中，是来自波兰的19个组织，来自美国九个来自墨西哥的九个组织，来自U.K.的七个，以及六位来自智利。

expoits的有效载荷是赛门铁克现在称为下载器.ratankba的先前未知的恶意软件下载器。其目的是下载另一个可以从受损系统收集信息的另一个恶意程序。第二种工具与Lazarus集团过去使用的恶意软件具有代码相似之处。

赛门铁克研究人员表示，自2009年以来，拉撒路一直在经营，并主要专注于过去美国和韩国的目标。本集团还涉嫌去年孟加拉国央行涉及8100万美元的盗窃。在那次攻击中，黑客使用恶意软件来操纵银行使用的计算机以在SWIFT网络上运行货币转移。

“将拉撒库集团演员联系起来的技术/取证证据尚不清楚，”BAE系统研究人员在星期天的一篇博客文章中说。“然而，鉴于他们以前的哈氏居民的目标瞄准了潜伏期的运营效益，选择了银行主管和国内银行网站的选择将是恰当的。”