近日，赛门铁克发现一种新型木马，主要针对与Carbanak相关的银行机构，Carbanak是一个网络犯罪团伙，在2013和2014年间共计从30多个国家的100多个银行盗取超过10亿美元的资金。

Carbanak组织是由来自亚洲和欧洲等多个国家的黑客所组成的，其攻击目标一直都是银行，金融机构，软件销售企业，以及专业服务公司中的高层管理人员。已知的攻击行动最早可追溯到2013年年底，攻击者利用一种名为“Carbanak”的恶意软件成功入侵了大约30个国家的超过100家金融企业。

下面列出了部分与Carbanak有关的攻击活动：

1. 针对中东国家，美国，以及欧洲等多个地区的金融公司进行攻击。受攻击的用户主要是金融机构中的高层管理人员和决策人员。
2. 利用网络钓鱼邮件传播恶意URL地址，包含有恶意宏的文件，以及能够触发软件漏洞的文件。
3. 利用Spy.Sekur（Carbanak恶意软件）和一些其他的恶意软件来远程获取木马病毒，例如jRAT，Netwire，Cybergate等等。

Odinaff专门针对银行业

这款名为“Odinaff”的新型木马最初确定于2016年1月，主要用于攻击银行业，其他的也包括证券、贸易、薪酬等金融垂直领域。

【Odinaff木马数据展示】

但是，赛门铁克公司表示，他们在活跃于各领域的电脑上都发现了该类型木马，这些电脑的一个共同特征就是运行了金融相关的软件程序，这也意味着该网络犯罪团伙具有强烈的金融攻击偏好。

赛门铁克研究人员表示，攻击者使用鱼叉式网络钓鱼攻击的手段，针对选定的受害者发送精心设计的含有恶意Word文档的电子邮件。

Odinaff的攻击过程

一旦目标受害者点击恶意文档，就会下载安装Odinaff恶意软件，根据赛门铁克研究人员的说法，Odinaff是一个相对简单的工具。

研究人员表示，Odinaff木马的主要目的是扎根在受感染的计算机中，获取持久的boot功能，随后再下载其他恶意软件以催化更复杂的攻击行为。

赛门铁克研究人员通过观察发现，Odinaff 下载的工具包括Mimikatz密码获取应用，PsExec程序执行工具包，Netscan网络扫描仪，Ammyy管理远程桌面工具，以及Runas，一个允许用户用其他权限运行指定程序的工具。

赛门铁克表示，在一些情况下， Odinaff 会下载Batel 后门木马，而Batel木马是之前Carbanak组织在过去的攻击活动中常用的工具。

除Batel木马外，赛门铁克还发现Odinaff 使用的三个 C&C服务器IP地址也与之前的Carbanak攻击活动相关。此外，其中一个IP地址还与此前Carbanak团伙针对OracleMICROS安全漏洞发起的攻击相关，

除了常规的部署在银行和金融公司的金融软件外，Odinaff还被发现用于攻击高度敏感的SWIFT国际银行交易系统，SWIFT是一个银行业必须采取高级安全防御措施进行维护的IT系统。

研究人员表示：

赛门铁克已经发现证据表明Odinaff犯罪团伙已经针对SWIFT用户发起攻击，通过恶意软件隐藏用户自己真实的 SWIFT信息记录，呈现其虚假的交易记录。该工具主要用于监视客户的本地消息日志，通过捕捉有关特定交易的关键字。随后将这些日志从客户的本地SWIFT软件环境中移除。

虽然Odinaff木马中包含自定义的C-coded模式来隐藏非法的SWIFT银行交易，但是赛门铁克公司并不认为最近发生的针对SWIFT系统攻击浪潮与之有关。

那些针对SWIFT系统的攻击事件是一支名为“Lazarus”小组的黑客所为，使用的恶意软件名为“Banswift”。虽然两个恶意软件的攻击目标同为SWIFT系统，但是并未发现Banswift与Odinaff分享任何代码。

最后，值得欣慰的是，这款新型的恶意软件的攻击目标只有银行系统及其员工，而不包含其客户，所以用户们可以稍微松口气了。