1

标题：链接分析软件帮助发现异常财务活动及犯罪网络

来源：bing

摘要：

链接分析软件帮助发现异常财务活动及犯罪网络

链接分析软件是一种数据分析方法，用于检查网络节点之间的连接或关系。连接或关系可以发生于任何类型的节点或对象（例如人，组织和交易）之间。

专业会计师使用链接分析软件来发现异常的财务活动、调查财务交易和客户资料，并使用统计信息揭发非法行为。

银行，保险、网络安全机构、金融机构使用它来发现犯罪网络。政府机构可以使用链接分析软件来调查欺诈行为，调查犯罪活动并发现恐怖分子网络。

如果没有任何链接分析软件，执法机构和情报分析人员、法医调查人员将会消耗大量精力。

2

标题：卡帕斯基恶意软件分析小组及ESET网络安全公司研究员马修调查的一些有趣情况

来源：bing

摘要：

卡帕斯基恶意软件分析小组及ESET网络安全公司研究员马修调查的一些有趣情况

黑莓科技公司首席产品设计师埃里克•科尼利厄斯于2020年4月8日说，有人在非法攻击Linux服务器，该违法行动已经进行了10年或更长时间。

安全研究人员指出，涉及的地区和行业非常广泛。涉及的设备类型包括：网站、网络服务器、超级计算机、云服务。

违法行为人使用的攻击工具包括：Linux恶意软件工具集WINNTI LNX。

火眼网络安全公司高级分析师弗雷德·普兰、战略与国际问题研究中心高级副总裁詹姆斯·刘易斯均表示说，上述情况属实。

恶意软件工具集WINNTI LNX的名字中，LNX的含义是Linux，WINNTI是指WINNTI小组。

该小组的别名还有：BleDoor, JUMPALL, RbDoor，APT

ESET网络安全公司恶意软件研究员马修·塔尔特雷（皮埃尔·奥格天文台高能物理学博士）说，

2019年11月，WINNTI小组对两所香港的大学实施了攻击。在攻击中，该小组使用了ShadowPad、ShadowHammer、PortReuse后门模块。攻击行为发生于2019年香港不平静期间。

其中，PortReuse后门曾经多次用于攻击亚洲地区的移动软件、硬件制造商。

该小组的活动开始于2012年，多次通过木马软件对亚洲地区网络游戏商、软件生产商、医疗机构、教育机构、微软SQL服务器、供应链进行攻击。

该小组的名字WINNTI，是由卡帕斯基网络安全公司确定的。

马修说，WINNTI指代的可能不是一个小组，而是多个小组。

该小组的攻击目的可能是，盗窃虚拟货币，获取受保护的信息。

德国巴伐利亚广播公司工作人员哈肯·汤里韦迪、丽贝卡·西塞斯基说，

该小组攻击软件存在特征代码：daa0 c7cb f4f0 fbcf d6d1，请大家注意识别。德意志交易所集团等六家公司曾经遭到该小组攻击。

该小组可能实施的行为有：搜集公司组织结构信息、信息系统、个人商业、商业秘密。该小组的活动一直很活跃。

Virustotal公司（谷歌公司的子公司）的恶意软件行为数据库跟踪记录了该小组活动的大量轨迹信息。

波鸿鲁尔大学信息安全专家莫里兹·康塔格在调查Gameforge游戏公司遭攻击事件时发现，该小组工作人员会将攻击行为目标公司的名字写入恶意软件的代码中，通过邮件附件发送恶意软件或链接开始攻击行为。

该小组的攻击行为成功欺骗了卡帕斯基公司的杀毒软件，劫持了Gameforge游戏公司的40台服务器。

卡帕斯基公司恶意软件分析小组组长克斯丁·雷伊说，该小组的物理位置可能在东亚地区，该小组从2011年开始活动以来，一直没有停息过攻击行为，且非常喜欢对信息基础设施进行攻击。克斯丁追踪该小组的违法行为，已经有9年时间了。

从2014年开始，该小组不再仅限于攻击游戏公司，开始攻击日本、法国、美国、德国杜塞尔多夫地区的化学、制药、高科技公司。如德国汉高公司。

克斯丁·雷伊说，调查发现的三个数字证据证明：2014年，该小组侵入汉高公司内部网络，获取了内部存储系统的文件资料。

汉高公司说，该事件发生于2014年夏季。

自从成功攻击汉高公司之后，该小组活动更加积极。德国科思创化学工业公司、法国波士胶公司、日本信越化学工业株式会社、住友电气工业株式会社、瑞士罗氏制药公司、西门子公司、德国巴斯夫化学公司、拜耳制药公司也遭到了攻击。

2019年6月发现，科思创公司的两个重要信息系统被该小组安装了恶意软件。波士胶公司于2019年上半年发现，遭到该小组攻击。巴斯夫公司在2015年7月遭到攻击，对巴斯夫的攻击行为具有较高的组织纪律性。西门子公司遭受攻击是在2016年6月。

蒂森克虏伯股份公司在遭受该小组攻击之后，开发了一套工具，专门监控该小组的行为。克斯丁·雷伊使用蒂森克虏伯股份公司的工具，成功发现了该小组2019年3月对拜耳制药公司的攻击行为。

克斯丁·雷伊在调查Gameforge公司遭攻击事件时发现了GB 2312字符集。德国网络安全组织工作人员德罗·约翰·罗彻对该小组的实际办公地点提出了一些意见。德罗·约翰·罗彻说，该小组成员很不认真，经常留下大量作案痕迹。

克斯丁·雷伊于2013年调查发现，该小组有一个代号为：Mer4en7y的工作人员，经常活跃于各大黑客论坛，使用GB 2312字符集发表各种言论，并公开招募工作人员。代号为：Mer4en7y的工作人员还炫耀说，背后的大老板极为有势力。Mer4en7y曾经出现于美方公诉机关发布于2018年10月的多份起诉书当中。

柏林马歇尔基金会工作人员扬卡·厄特尔说，这些行为的含义是，如果不能得到想要的技术，那他们就会偷盗。

一位德国联邦情报局的前任工作人员匿名说，因为该小组臭名昭著，其他人在发动网络攻击时，会将自己的行为伪装得很像该小组的行为，这种可能性是存在的。

克斯丁·雷伊发现，香港政府也遭到了该小组的攻击。香港政府接到克斯丁的通知后，自查发现，有两个部门的6台电脑发现了该小组使用的恶意软件。

克斯丁·雷伊搜集的数字证据显示：万豪跨国酒店管理公司、印尼狮航公司、以及几个通信公司遭受该小组攻击的情况说明，该小组对人员住宿、旅行、通信信息也感兴趣。

马修说，他们会密切监视和不断研究该小组的行为，如果需要获取进一步信息，可以联系马修，他的电子邮件是：threatintel@eset.com

结尾部分：

摘要：

链接分析软件帮助发现异常财务活动及犯罪网络，卡帕斯基恶意软件分析小组及ESET网络安全公司研究员马修调查的一些有趣情况

作者：朱川（zhuchuan_214@foxmail.com）