1

標(biāo)題：鏈接分析軟件幫助發(fā)現(xiàn)異常財(cái)務(wù)活動(dòng)及犯罪網(wǎng)絡(luò)

來(lái)源：bing

摘要：

鏈接分析軟件幫助發(fā)現(xiàn)異常財(cái)務(wù)活動(dòng)及犯罪網(wǎng)絡(luò)

鏈接分析軟件是一種數(shù)據(jù)分析方法，用于檢查網(wǎng)絡(luò)節(jié)點(diǎn)之間的連接或關(guān)系。連接或關(guān)系可以發(fā)生于任何類(lèi)型的節(jié)點(diǎn)或?qū)ο螅ɡ缛耍M織和交易）之間。

專(zhuān)業(yè)會(huì)計(jì)師使用鏈接分析軟件來(lái)發(fā)現(xiàn)異常的財(cái)務(wù)活動(dòng)、調(diào)查財(cái)務(wù)交易和客戶(hù)資料，并使用統(tǒng)計(jì)信息揭發(fā)非法行為。

銀行，保險(xiǎn)、網(wǎng)絡(luò)安全機(jī)構(gòu)、金融機(jī)構(gòu)使用它來(lái)發(fā)現(xiàn)犯罪網(wǎng)絡(luò)。政府機(jī)構(gòu)可以使用鏈接分析軟件來(lái)調(diào)查欺詐行為，調(diào)查犯罪活動(dòng)并發(fā)現(xiàn)恐怖分子網(wǎng)絡(luò)。

如果沒(méi)有任何鏈接分析軟件，執(zhí)法機(jī)構(gòu)和情報(bào)分析人員、法醫(yī)調(diào)查人員將會(huì)消耗大量精力。

2

標(biāo)題：卡帕斯基惡意軟件分析小組及ESET網(wǎng)絡(luò)安全公司研究員馬修調(diào)查的一些有趣情況

來(lái)源：bing

摘要：

卡帕斯基惡意軟件分析小組及ESET網(wǎng)絡(luò)安全公司研究員馬修調(diào)查的一些有趣情況

黑莓科技公司首席產(chǎn)品設(shè)計(jì)師埃里克?科尼利厄斯于2020年4月8日說(shuō)，有人在非法攻擊Linux服務(wù)器，該違法行動(dòng)已經(jīng)進(jìn)行了10年或更長(zhǎng)時(shí)間。

安全研究人員指出，涉及的地區(qū)和行業(yè)非常廣泛。涉及的設(shè)備類(lèi)型包括：網(wǎng)站、網(wǎng)絡(luò)服務(wù)器、超級(jí)計(jì)算機(jī)、云服務(wù)。

違法行為人使用的攻擊工具包括：Linux惡意軟件工具集WINNTI LNX。

火眼網(wǎng)絡(luò)安全公司高級(jí)分析師弗雷德·普蘭、戰(zhàn)略與國(guó)際問(wèn)題研究中心高級(jí)副總裁詹姆斯·劉易斯均表示說(shuō)，上述情況屬實(shí)。

惡意軟件工具集WINNTI LNX的名字中，LNX的含義是Linux，WINNTI是指WINNTI小組。

該小組的別名還有：BleDoor, JUMPALL, RbDoor，APT

ESET網(wǎng)絡(luò)安全公司惡意軟件研究員馬修·塔爾特雷（皮埃爾·奧格天文臺(tái)高能物理學(xué)博士）說(shuō)，

2019年11月，WINNTI小組對(duì)兩所香港的大學(xué)實(shí)施了攻擊。在攻擊中，該小組使用了ShadowPad、ShadowHammer、PortReuse后門(mén)模塊。攻擊行為發(fā)生于2019年香港不平靜期間。

其中，PortReuse后門(mén)曾經(jīng)多次用于攻擊亞洲地區(qū)的移動(dòng)軟件、硬件制造商。

該小組的活動(dòng)開(kāi)始于2012年，多次通過(guò)木馬軟件對(duì)亞洲地區(qū)網(wǎng)絡(luò)游戲商、軟件生產(chǎn)商、醫(yī)療機(jī)構(gòu)、教育機(jī)構(gòu)、微軟SQL服務(wù)器、供應(yīng)鏈進(jìn)行攻擊。

該小組的名字WINNTI，是由卡帕斯基網(wǎng)絡(luò)安全公司確定的。

馬修說(shuō)，WINNTI指代的可能不是一個(gè)小組，而是多個(gè)小組。

該小組的攻擊目的可能是，盜竊虛擬貨幣，獲取受保護(hù)的信息。

德國(guó)巴伐利亞廣播公司工作人員哈肯·湯里韋迪、麗貝卡·西塞斯基說(shuō)，

該小組攻擊軟件存在特征代碼：daa0 c7cb f4f0 fbcf d6d1，請(qǐng)大家注意識(shí)別。德意志交易所集團(tuán)等六家公司曾經(jīng)遭到該小組攻擊。

該小組可能實(shí)施的行為有：搜集公司組織結(jié)構(gòu)信息、信息系統(tǒng)、個(gè)人商業(yè)、商業(yè)秘密。該小組的活動(dòng)一直很活躍。

Virustotal公司（谷歌公司的子公司）的惡意軟件行為數(shù)據(jù)庫(kù)跟蹤記錄了該小組活動(dòng)的大量軌跡信息。

波鴻魯爾大學(xué)信息安全專(zhuān)家莫里茲·康塔格在調(diào)查Gameforge游戲公司遭攻擊事件時(shí)發(fā)現(xiàn)，該小組工作人員會(huì)將攻擊行為目標(biāo)公司的名字寫(xiě)入惡意軟件的代碼中，通過(guò)郵件附件發(fā)送惡意軟件或鏈接開(kāi)始攻擊行為。

該小組的攻擊行為成功欺騙了卡帕斯基公司的殺毒軟件，劫持了Gameforge游戲公司的40臺(tái)服務(wù)器。

卡帕斯基公司惡意軟件分析小組組長(zhǎng)克斯丁·雷伊說(shuō)，該小組的物理位置可能在東亞地區(qū)，該小組從2011年開(kāi)始活動(dòng)以來(lái)，一直沒(méi)有停息過(guò)攻擊行為，且非常喜歡對(duì)信息基礎(chǔ)設(shè)施進(jìn)行攻擊?？怂苟∽粉櫾撔〗M的違法行為，已經(jīng)有9年時(shí)間了。

從2014年開(kāi)始，該小組不再僅限于攻擊游戲公司，開(kāi)始攻擊日本、法國(guó)、美國(guó)、德國(guó)杜塞爾多夫地區(qū)的化學(xué)、制藥、高科技公司。如德國(guó)漢高公司。

克斯丁·雷伊說(shuō)，調(diào)查發(fā)現(xiàn)的三個(gè)數(shù)字證據(jù)證明：2014年，該小組侵入漢高公司內(nèi)部網(wǎng)絡(luò)，獲取了內(nèi)部存儲(chǔ)系統(tǒng)的文件資料。

漢高公司說(shuō)，該事件發(fā)生于2014年夏季。

自從成功攻擊漢高公司之后，該小組活動(dòng)更加積極。德國(guó)科思創(chuàng)化學(xué)工業(yè)公司、法國(guó)波士膠公司、日本信越化學(xué)工業(yè)株式會(huì)社、住友電氣工業(yè)株式會(huì)社、瑞士羅氏制藥公司、西門(mén)子公司、德國(guó)巴斯夫化學(xué)公司、拜耳制藥公司也遭到了攻擊。

2019年6月發(fā)現(xiàn)，科思創(chuàng)公司的兩個(gè)重要信息系統(tǒng)被該小組安裝了惡意軟件。波士膠公司于2019年上半年發(fā)現(xiàn)，遭到該小組攻擊。巴斯夫公司在2015年7月遭到攻擊，對(duì)巴斯夫的攻擊行為具有較高的組織紀(jì)律性。西門(mén)子公司遭受攻擊是在2016年6月。

蒂森克虜伯股份公司在遭受該小組攻擊之后，開(kāi)發(fā)了一套工具，專(zhuān)門(mén)監(jiān)控該小組的行為。克斯丁·雷伊使用蒂森克虜伯股份公司的工具，成功發(fā)現(xiàn)了該小組2019年3月對(duì)拜耳制藥公司的攻擊行為。

克斯丁·雷伊在調(diào)查Gameforge公司遭攻擊事件時(shí)發(fā)現(xiàn)了GB 2312字符集。德國(guó)網(wǎng)絡(luò)安全組織工作人員德羅·約翰·羅徹對(duì)該小組的實(shí)際辦公地點(diǎn)提出了一些意見(jiàn)。德羅·約翰·羅徹說(shuō)，該小組成員很不認(rèn)真，經(jīng)常留下大量作案痕跡。

克斯丁·雷伊于2013年調(diào)查發(fā)現(xiàn)，該小組有一個(gè)代號(hào)為：Mer4en7y的工作人員，經(jīng)?；钴S于各大黑客論壇，使用GB 2312字符集發(fā)表各種言論，并公開(kāi)招募工作人員。代號(hào)為：Mer4en7y的工作人員還炫耀說(shuō)，背后的大老板極為有勢(shì)力。Mer4en7y曾經(jīng)出現(xiàn)于美方公訴機(jī)關(guān)發(fā)布于2018年10月的多份起訴書(shū)當(dāng)中。

柏林馬歇爾基金會(huì)工作人員揚(yáng)卡·厄特爾說(shuō)，這些行為的含義是，如果不能得到想要的技術(shù)，那他們就會(huì)偷盜。

一位德國(guó)聯(lián)邦情報(bào)局的前任工作人員匿名說(shuō)，因?yàn)樵撔〗M臭名昭著，其他人在發(fā)動(dòng)網(wǎng)絡(luò)攻擊時(shí)，會(huì)將自己的行為偽裝得很像該小組的行為，這種可能性是存在的。

克斯丁·雷伊發(fā)現(xiàn)，香港政府也遭到了該小組的攻擊。香港政府接到克斯丁的通知后，自查發(fā)現(xiàn)，有兩個(gè)部門(mén)的6臺(tái)電腦發(fā)現(xiàn)了該小組使用的惡意軟件。

克斯丁·雷伊搜集的數(shù)字證據(jù)顯示：萬(wàn)豪跨國(guó)酒店管理公司、印尼獅航公司、以及幾個(gè)通信公司遭受該小組攻擊的情況說(shuō)明，該小組對(duì)人員住宿、旅行、通信信息也感興趣。

馬修說(shuō)，他們會(huì)密切監(jiān)視和不斷研究該小組的行為，如果需要獲取進(jìn)一步信息，可以聯(lián)系馬修，他的電子郵件是：threatintel@eset.com

結(jié)尾部分：

摘要：

鏈接分析軟件幫助發(fā)現(xiàn)異常財(cái)務(wù)活動(dòng)及犯罪網(wǎng)絡(luò)，卡帕斯基惡意軟件分析小組及ESET網(wǎng)絡(luò)安全公司研究員馬修調(diào)查的一些有趣情況

作者：朱川（zhuchuan_214@foxmail.com）