天创培训:您身边的信息安全培训专家!
行业动态
“宙斯熊猫”银行木马仍在活跃 目标扩大到加密货币和社交媒体

“宙斯熊猫”银行木马

应用交付网络(ADN)的全球领导者F5 Networks公司在近几个月以来发现了多项利用“宙斯熊猫(Zeus Panda)”银行木马开展的网络攻击活动 ,专注于全球金融服务机构。

Zeus Panda,也被称为Panda Banker或PandaBot,最初是由荷兰网络安全公司Fox-IT在2016年发现的。另一家美国网络安全公司Proofpoint在经过分析后发现,它从Zeus的银行木马借用代码,一种首次出现在7年前并一直保持活跃的木马病毒,这也是它为什么被以“Zeus Panda”命名的原因。

研究人员在发现Zeus Panda时,它正被作为工具包在地下论坛出售。通过网络钓鱼电子邮件传播,并针对Windows操作系统。它的主要攻击技术包括Web注入、用户活动屏幕截图(每次鼠标点击最多100次)、键盘输入记录、剪贴板粘贴(抓取密码并将其粘贴到表单字段)以及利用虚拟网络计算(VNC)桌面共享系统。

隶属于F5 Networks公司的F5 Labs此次分析了在四起在今年2月至5月期间利用Zeus Panda银行木马开展的攻击活动。2月份的攻击活动集中在加密货币网站上,而5月份的三起活动则都针对了Facebook和Twitter,并且至今仍处于活跃状态。

F5 Labs进一步分析说,每一起活动都使用了不同的命令和控制(C&C)服务器,其中三个与已知的俄罗斯黑客组织联系在一起,第四个托管在中国。

Zeus Panda仍专注于全球金融服务机构,但随着加密货币带来的热潮,它已将目标扩大到在线加密货币交易和经纪服务。另外,社交媒体、搜索服务、电子邮件和成人网站也成为了它的目标。在2017年11月,思科Talos团队发现网络犯罪分子利用搜索引擎优化(SEO)的关键字集合部署恶意链接,而其目的便是传播Zeus Panda,以窃取用户财务凭证和其他敏感信息。

F5 Labs指出,Zeus Panda主要活跃在日本、意大利、美国和加拿大,尤其是在针对日本金融服务机构的活动中拥有最广泛的行业目标。在5月份的活动中,涉及到的目标包括社交媒体、搜索服务、电子邮件、电子商务、技术提供商和成人网站。不难看出,这些行业普遍都存在一个共同点,那就是会收集用户的支付信息和其他形式的个人身份信息(PII)。

在2月份的活动中,Zeus Panda被配置为僵尸网络“onore2”,能够利用键盘输入记录功能通过网页浏览器和VNC窃取用户的个人信息。仅针对了两个行业:金融服务和加密货币网站。大多数目标是意大利的金融服务网站(占51%),剩余的49%则都是全球的加密货币网站。

在5月1日的分析中,F5 Labs发现了最新的样本,其中一个被配置为僵尸网络“2.6.8”。新的活动有8个行业的目标,其中76%是美国金融机构。该活动还针对了6家加拿大金融机构,其次是加密货币网站、全球社交媒体提供商、搜索和电子邮件提供商,以及薪资、娱乐和技术提供商。

此外,还有另一个被配置为僵尸网络“2.6.8”的样本,不过攻击者使用了不同的策略和不同的C&C服务器。这起活动针对了日本金融服务机构,其中大部分是信用卡提供商。其他目标包括电子商务巨头亚马逊(Amazon)、一些娱乐平台(如Youtube)、社交媒体领袖Facebook和Twitter以及日本的两个成人网站。


最后一个样本被配置为僵尸网络“cosmos3”,目标针对了拉丁美洲的金融机构。这包括位于阿根廷、哥伦比亚和厄瓜多尔的银行,其次是社交媒体(Facebook、Twitter、Instagram和Flickr)、搜索服务、电子邮件(MSN和Bing)、娱乐平台(YouTube)和技术提供商(微软)。值得注意的是,这起活动与其他三起活动相比存在一个特别的地方,那就是它的C&C服务器托管在中国。

F5 Labs总结说,能够同时针对全球多个国家和多个行业开展网络攻击活动表明,这些活动是由一个高度活跃的网络犯罪集团操纵的。从攻击态势来看,这些活动不仅不会在短期内结束,并且可能会愈演愈烈。