• 發布單位:TWCERT/CC
• 更新日期:2019-03-24
• 點閱次數:328

英國國防公司BAE Systems安全研究人員指出，從孟加拉央行盜走8,100萬美元的駭客，可能已經侵入SWIFT金融平台的軟體。
2.駭客將惡意程式首先感染SWIFT’s Alliance software伺服器，其中evtdiag.exe(SHA1：525a8e3ae4e3df8c9c61f2a49e38541d196e9228)的目的是要與SWIFT Alliance software存取，並且將自己註冊成系統服務的一部分。再以預先設定好的SWIFT訊息檔進行比對，來萃取出轉帳資訊與SWIFT地址，目的是為了刪除特定的交易紀錄與交易金額。
3.感染方式如下所示
(1)感染SWIFT Alliance software的伺服器
(2)惡意程式會列出伺服器執行中的程序
(3)惡意程式檢查是否有任何程序有載入liboradb.dll模組(負責讀取資料庫路徑的進入點)
(4)若發現該模組，則用NOP指令覆蓋特定兩個bytes
(5)覆蓋後則可強迫主程式總是繞過驗證
(6)最後惡意程式即可對資料庫進行存取
4.環球銀行金融電訊協會(SWIFT)向路透證實，已注意到針對銀行客戶的惡意軟體。發言人Natasha Deteran表示，SWIFT週一將發布一份軟體更新以阻 止惡意軟體，同時也將發布一項特別警告，提醒金融機構檢查自身的安全程序。
5.惡意程式樣本如下圖所示

攻擊手法： 疑似APT手法

參考連結：

http://baesystemsai.blogspot.tw/2016/04/two-bytes-to-951m.html
http://thehackernews.com/2016/04/swift-bank-hack.html
http://news.sina.com.tw/article/20160425/16960605.html
http://securityaffairs.co/wordpress/46678/cyber-crime/ba