新版本Panda Banker向日本金融机构宣战

　　“jpccgrab”webinject面板登陆页面。

　　主要发现

　　· 一名威胁发起者使用臭名昭著的银行恶意软件Panda Banker(又称为Zeus Panda、PandaBot)，开始将日本金融机构作为攻击目标。

　　根据NETSCOUT Arbor的数据和分析，这是第一次发现Panda Banker将日本组织作为攻击目标。

　　除了之前未发现的以日本组织为目标的攻击，NETSCOUT Arbor在之前的Panda Banker攻击活动中从未发现相同的威胁指纹，因此，这可能是使用Panda Banker的新攻击活动或威胁发起者。

　　这次攻击活动中使用的样本是我们在网络中发现的第一个使用最新版Panda Banker(版本2.6.6)的样本。

　　概述

　　Panda Banker基于Zeus恶意软件家族，其主要功能之一是窃取用户证书和账号，最终从银行机构窃取金钱。这种攻击行为使用的是一种被称为“man in the browser”的技术和“webinject”，后者用于确定攻击的目标网站以及如何进行攻击。

　　网络中第一次发现这种银行恶意软件是在2016年年初(版本2.1.x)，自此之后它不断发展，越来越普遍。尽管某些细节发生了改变，但通过“谁放出了Pandas? 是Zeus”这篇博文，依然可以很好地了解这一恶意软件的技术详情。

　　Panda Banker在地下论坛中作为一种套件进行出售，因此这一恶意软件有许多用户。网络犯罪威胁发起者习惯于对特定国家集中发起攻击，这通常取决于他们是否能够将从这些国家窃取的证书和账户信息转化成真金白银。多年来，我们发现Panda Banker攻击活动主要集中在以下国家的金融机构：意大利、加拿大、澳大利亚、德国、美国、英国以及现在的日本。

　　威胁活动分析

　　3月26日，发现新版本的Panda Banker(版本2.6.6)在网络中传播：

　　SHA256: 8db8f6266f6ad9546b2b5386a835baa0cbf5ea5f699f2eb6285ddf401b76ccb7

　　编译日期： 2018-03-26 09:54:57

　　虽然未发现恶意软件本身有明显变化(可能只是一个 “漏洞补丁”版本)，但使用这一样本的攻击活动依然引起了我们注意，原因有二：

　　与我们之前发现的所有Panda Banker攻击活动没有相同的威胁指纹。

　　Webinject的攻击目标是日本，之前我们未发现Panda Banker将日本作为攻击目标。

　　命令及控制(C2)

　　为该样本配置的C2服务器如下：

　　https://hillaryzell[.]xyz/1wekenauhivwauvaxquor.dat

　　https://buscamapa1[.]top/2yrfuupcovylaawubitvy.dat

　　https://buscamapa2[.]top/3toaxkatoindyepidikuv.dat

　　https://buscamapa3[.]top/4heequktuepahvoyfofit.dat

　　https://buscamapa4[.]top/5ufyfegtuobekpykobeul.dat

　　https://buscamapa5[.]top/6lubanuoxapywinlaokow.dat

　　截至调查时，只有hillaryzell[.]xyz是可以使用的，它使用电子邮件地址yalapinziw@mail.ru注册到了“Petrov Vadim”上。

　　攻击活动名称

　　威胁发起者将这次攻击活动命名为“ank”。

　　Webinject

　　截至调查时，C2服务器返回27个webinject，它们可以细分为以下类别：

　　17个主营业务为信用卡的日本银行网站

　　1个美国电子邮件网站

　　1个美国视频搜索引擎

　　4个美国搜索引擎

　　1个美国在线购物网站

　　2个美国社交媒体网站

　　1个美国成人内容中心

　　例如，该攻击活动中经过编辑的webinject 如下：

　　以日本为攻击目标的webinject 示例。

　　该攻击活动中的webinject利用一种被称为“Full Info Grabber”的“抓取程序”/自动传输系统(ATS)，捕获证书和账户信息。如上图1和2所示，威胁发起者使用的路径为“jpccgrab”，意思可能是“日本信用卡抓取程序”。由于目标是日本，这一名称是不无道理的。

　　结论

　　日本并不是第一次受到银行恶意软件的攻击，根据最近的报告，日本一直被使用Ursnif和Urlzone银行恶意软件的攻击所困扰。对于我们发现的第一次以日本金融机构为攻击目标的Panda Banker攻击活动，本文是我们所做的初步分析。

　　关于作者

　　徐开勇(George Tsui)

　　NETSCOUT Arbor中国和香港地区总经理

　　徐开勇(George Tsui)先生现任NETSCOUT Arbor中国和香港地区总经理。他的主要职责包括在该地区管理和开发渠道销售网络，以及面向服务提供商和企业级市场制定销售策略和市场开发计划。加入NETSCOUT Arbor之前，他曾任英国电信公司区域总监，管理大中华区的销售渠道业务和运营，全面负责企业损益、卓越运营以及客户满意度。加入英国电信公司之前，他曾在香港电讯和Infonet香港公司担任不同的高级职务。

　　徐开勇先生在全球电信/ ICT行业拥有超过24年的丰富经验，其关注领域及专长包括渠道合作伙伴/联盟开发、销售和商业管理。

　　徐开勇先生在香港办公，他拥有英国诺丁汉大学(University of Nottingham)电气与电子工程学士学位。

转载：感谢您对网站平台的认可，以及对我们原创作品以及文章的青睐，非常欢迎各位朋友分享到个人站长或者朋友圈，但转载请说明文章出处。