• 發布單位:TWCERT/CC
• 更新日期:2019-03-23
• 點閱次數:687

●重點摘要 1.Lazarus集團的駭客攻擊活動已多年，最早可回溯到2009年。其惡意軟體已經在許多嚴重的網路攻擊中被發現，例如2014年SONY影業遭大規模數據洩漏和文件修改;在2013年韓國發生的黑暗首爾襲擊了韓國媒體金融公司。而在2016年孟加拉央行發生的SWIFT交易系統帳號密碼遭竊案中(Society for Worldwide Interbank Financial Telecommunication，SWIFT，環球金融電信協會，廣泛被應用於國際跨行轉帳)，研究人員發現這些後門程式使用的相似之處，去年SWIFT也對全球發布緊急系統更新。 2.卡巴斯基在該報告提供兩起事件調查，其一案例發生在東南亞的銀行，駭客在2015年12月時透過銀行的網頁伺服器(Web Server)，而該伺服器透過終端服務與SWIFT系統連線，進而植入惡意程式，除此之外其他系統皆無與對外有連線的跡象。第二起案例則是發生在歐洲，波蘭多家銀行被植入惡意程式，該駭客可能與Lazarus Group有關。駭客透過水坑式攻擊，先在波蘭的金融監管單位KNF的官方網站植入惡意的JavaScript檔，而波蘭境內多家銀行表示在瀏覽該網站後，銀行的資安監控中心就陸續出現網路異常傳輸，下載其他後門程式到受害銀行(TWCERT/CC已於2017年2月17日發布該情資)。卡巴斯基表示駭客利用網頁中cambio.swf元件漏洞(CVE-2016-4117、CVE-2015-8651、CVE-2016-1019及CVE-2016-0034)下載後門程式，這些漏洞分別在2016年1月及四月已經提供修補程式，而該案例則是因為未修補這些漏洞而被駭客利用。 3.卡巴斯基指出這些攻擊銀行的案例中，並非真正攻擊SWIFT系統，而是透過銀行行員及整體營運架構中切入，能夠操作SWIFT系統人員的存取權限。因此重要系統及及周邊，除了平時須注重漏洞即時修補之外，存取權限的控管也須留意。防火牆及入侵偵測系統等資安設備建議可參考卡巴斯基的報告附件所提供的IOC作為防護用途。 參考來源： Kaspersky Lab，LAZARUS UNDER THE HOOD https://securelist.com/files/2017/04/Lazarus_Under_The_Hood_PDF_final.pdf

參考連結：

https://securelist.com/files/2017/04/Lazarus_Under_The_Hood_PDF_final.pdf