臭名昭著的Carbanak犯罪團(tuán)伙正轉(zhuǎn)變攻擊方向，集中火力瞄準(zhǔn)酒店和餐飲行業(yè)。

2015年曾發(fā)生過(guò)一系列的針對(duì)金融機(jī)構(gòu)的網(wǎng)絡(luò)惡意攻擊活動(dòng)，但其中沒有一件比Carbanak犯罪團(tuán)伙的活動(dòng)來(lái)得更為大膽創(chuàng)新。該犯罪團(tuán)伙瞄準(zhǔn)了超過(guò)30個(gè)國(guó)家的100多家銀行及其他金融機(jī)構(gòu)，竊取的金額或可能高達(dá)10億美元。但目前這一臭名昭著的犯罪團(tuán)伙轉(zhuǎn)變了攻擊策略，開始集中火力攻擊酒店和餐飲行業(yè)。

Trustwave公司報(bào)告稱：

Trustwave公司的網(wǎng)絡(luò)安全專家提到，從上周起，Carbanak團(tuán)伙開始采用新的技術(shù)和惡意軟件實(shí)施攻擊。他們對(duì)服務(wù)業(yè)人士發(fā)起魚叉式釣魚網(wǎng)絡(luò)攻擊，誘導(dǎo)受害者閱讀含有惡意宏文件的釣魚郵件。

Trustwave安全公司觀察到，攻擊者會(huì)通過(guò)電話告訴客戶，其在線服務(wù)出現(xiàn)了問(wèn)題，然后說(shuō)會(huì)就有關(guān)問(wèn)題發(fā)送電子郵件?？蛻舸蜷_郵件里的附件之前，黑客會(huì)一直在線，當(dāng)受害者打開惡意信息后黑客會(huì)立馬掛掉電話。

對(duì)Carbanak的分析報(bào)告指出：

首先，在第一階段的攻擊中黑客會(huì)下載一款惡意軟件作為偵查工具，它可以下載主流的黑客工具，包括：Nmap, FreeRDP, NCat和NPing。

隨后，還會(huì)下載額外的有效載荷進(jìn)行下一階段的攻擊。

攻擊者最終的目標(biāo)是從受感染設(shè)備內(nèi)存中挖掘敏感信息和信用卡數(shù)據(jù)等，被感染的設(shè)備上會(huì)有重新編譯過(guò)的Carbanak惡意軟件，這個(gè)惡意軟件難以被檢測(cè)出來(lái)，并且它會(huì)從PST文件中竊取信用卡信息、屏幕快照、鍵盤記錄器信息、郵箱地址，授權(quán)RDP、VNC進(jìn)程，或者獲取其他系統(tǒng)信息。

為了獲取受害者設(shè)備的全部控制權(quán)，這個(gè)惡意軟件會(huì)在設(shè)備上建立后門。通過(guò)443端口上的一個(gè)加密通道和如下所列的IP地址進(jìn)行通信：

所有竊取信息均采用base64+RC2加密，并通過(guò)HTTP POST發(fā)送消息。

新一輪的攻擊大約開始于6個(gè)星期前，Trustwave公司已經(jīng)發(fā)布了一系列新的“攻擊指標(biāo)(indicators of compromise)”，能夠幫助管理人員和安全專家發(fā)現(xiàn)威脅。

Trustwave報(bào)告的結(jié)論稱：

事實(shí)上，像Carbanak團(tuán)伙這樣改變攻擊目標(biāo)開始針對(duì)餐飲服務(wù)業(yè)，說(shuō)明攻擊者們獲利的行業(yè)方向已經(jīng)發(fā)生了明顯的變化。

其實(shí)，這也已經(jīng)不是黑客團(tuán)伙第一次將目標(biāo)瞄準(zhǔn)服務(wù)業(yè)了。2014年11月，Kasperky就發(fā)現(xiàn)了一支自稱“Darkhotel”的黑客組織，通過(guò)酒店網(wǎng)絡(luò)系統(tǒng)來(lái)攻擊在亞洲出差的企業(yè)高管。Darkhotel活動(dòng)至少持續(xù)了四年，針對(duì)選定企業(yè)的出差高管人員。據(jù)安全專家所言，這些犯罪分子的目標(biāo)是竊取奢侈酒店住戶的敏感數(shù)據(jù)。這些攻擊者展現(xiàn)了極為高超的技能，能夠過(guò)濾數(shù)據(jù)并抹去他們的活動(dòng)痕跡。