Nieuws
image

Bankpersoneel doelwit van aanval via Microsoft Office-exploits

woensdag 5 september 2018, 12:13 door Redactie, 4 reacties

Medewerkers van banken in meer dan 25 landen zijn het doelwit van aanvallen geworden waarbij werd geprobeerd om banksystemen via Microsoft Office-exploits en LNK- en CHM-bestanden met malware te infecteren. Dat meldt securitybedrijf Group-IB in een analyse.

De aanvallers zouden sinds de zomer van 2016 actief zijn en onder andere in 2017 phishingaanvallen op Oekraïense banken hebben uitgevoerd. Hoewel de groep zich in eerste instantie richtte op Oekraïense en Russische banken, zijn de activiteiten van de aanvallers in meer dan 25 landen waargenomen. Om banken binnen te dringen versturen de aanvallers phishingmails met kwaadaardige bijlagen.

"In het begin gebruikte de groep gehackte servers en gecompromitteerde accounts voor de aanvalscampagnes, maar later registreerden ze aparte phishingdomeinen en creëerden zelf gesigneerde certificaten", aldus de analyse van Group-IB. "Om filtersystemen te omzeilen maakten ze gebruik van DKIM en SPF. Om 'legitieme' e-mails te maken die van de banken afkomstig leken, gebruikten de hackers domeinen van de banken waar geen SPF-records voor waren ingesteld."

De phishingmails waren van een kwaadaardige bijlage voorzien. Het ging dan om Microsoft Office-documenten die van vijf bekende kwetsbaarheden in de kantoorsoftware van Microsoft misbruik maakten. Het gaat om beveiligingslekken waar in 2017 en 2018 updates van Microsoft voor verschenen. Wanneer banken deze updates niet hadden geïnstalleerd kon er door het openen van de kwaadaardige documenten malware worden geïnstalleerd. Daarnaast maakten de aanvallers gebruik van CHM- en LNK-bestanden die als bijlage werden meegestuurd.

Zodra de aanvallers toegang tot het banknetwerk hebben richten ze zich op systemen die verantwoordelijk zijn voor geautomatiseerde banktransacties, geldautomaten en betaalkaartverwerkingssystemen. Bij drie bevestigde aanvallen zou de groep 800.000 dollar uit geldautomaten hebben weten te stelen. Opvallend aan de groep is dat die volgens Group-IB uit twee personen bestaat, een ontwikkelaar en operator. Volgens Dmitry Volkov, CTO van Group-IB, is het tegenwoordig veel eenvoudiger om een cybercrimineel te worden dan vijf tot zeven jaar geleden. "Je kunt servers huren, bestaande exploits aanpassen en legitieme tools gebruiken. Dit maakt het lastiger voor de verdedigers, maar eenvoudiger voor de aanvallers." De aangevallen banken bevinden zich in Europa, Azië en Afrika.

Image

Reacties (4)
05-09-2018, 13:23 door packetguy
Dit is de reden waarom ik alle emails met office documenten met Executable VBA/Macro's standaard blokkeer.
05-09-2018, 17:25 door karma4
We hebben een ander probleem van gelijke orde als het beid van boven is dat er niet te vaak op dreigingen gereageerd mag worden.
ING heeft net een flinke boete gekregen omdat er niet meer dan 3 meldingen per dag uit de systemen mochten komen.
Hoe zouden ze het doen met cyber security aanvallen? Met dezelfde beleidslijn is er ook een limiet op het aantal waarop geacteerd mag worden.
05-09-2018, 20:30 door Anoniem
goh. waarom ben ik niet verbaasd meer?
05-09-2018, 23:41 door [Account Verwijderd] - Bijgewerkt: 05-09-2018, 23:42
Door karma4: We hebben een ander probleem van gelijke orde als het beid van boven is dat er niet te vaak op dreigingen gereageerd mag worden.
Je hebt hier misschien een punt, maar het ligt evenzogoed aan het design van Windows dat dit kan gebeuren. Het systeem is ten opzichte van vroeger beter "gehardened", maar het is tot op de dag van vandaag nog steeds "close but no cigar". Het gebruikersgemak dat ze ooit voor ogen hadden blijkt een securityflaw van jewelste te zijn. Dat blijkt kéér-op-'kéér.

Door karma4:ING heeft net een flinke boete gekregen omdat er niet meer dan 3 meldingen per dag uit de systemen mochten komen.
Euh... ze hebben een boete gekregen omdat ze onvoldoende hebben gemonitord dat er véél te veel illegale transacties op hun rekeningen werden gepleegd. Zelfs met "maar" 3 meldingen hadden ze aan de bel moeten trekken. Lijkt me dus niet waarschijnlijk wat je hier zegt.

Door karma4:Hoe zouden ze het doen met cyber security aanvallen? Met dezelfde beleidslijn is er ook een limiet op het aantal waarop geacteerd mag worden.
Hoe weet je dat? Dat is dus gewoon een aanname. Mag uiteraard, maar het blijft koffiedik kijken.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search