俄罗斯网络攻击调查机构Croup-IB针对使用俄语且行踪神秘的MoneyTaker黑客组织整理出一份详尽的报告，指出该组织一直将矛头指向美国及俄罗斯的各金融机构（包括银行、信用合作社以及贷款机构等），并积极窃取一切可用于后续攻击的资金与文件。

哪些是MoneyTaker的攻击目标？

Group-IB方面调查了20多起由MoneyTaker组织发起的攻击活动（报告中将此称为‘黑客入侵’）。

对外更青睐小型社区银行

MoneyTaker黑客似乎对小型社区银行青眼有加，这很可能是因为此类机构往往网络防御能力有限，因此更易受到入侵。
根据目前记录在案的信息，2016年5月，该组织攻击了美国某银行，并顺利入侵First Data的STAR卡处理系统，成功获取资金。此后，攻击者继续掀起攻势瞄准美国之外的俄罗斯与英国攻击某软件与服务供应商。

攻击本土中央银行

在攻击俄罗斯本土机构时，攻击者的主要目标集中在俄罗斯中央银行的AWS CBR身上（即俄罗斯中央银行自动客户工作站）。

AWS CBR是一套类似于SWIFT的、专供俄罗斯各银行间实现资金周围的转账系统。

研究人员们表示：给该组织“每一次针对美国机构的成功攻击平均造成50万美元损失; 而每一次针对俄罗斯机构的成功攻击则平均造成120万美元损失，不过俄罗斯方面设法追回了一部分资金。”
该组织通过入侵银行卡处理系统从多家银行处窃取资金，并利用其清空或提升钱骡卡片的取现限额。钱骡一方会根据指示尽可能从ATM机处提取现金。其它网络黑客团伙也曾采用类似的作法。

未来的潜在目标

研究人员们发现，恶意攻击者盗取了OceanSystems公司的FedLink电汇处理系统相关文件，FedLink电汇处理系统由南美及美国本土200家银行实际使用。研究人员们担心，接下来这些银行都有可能成为MoneyTaker攻击集团的潜在入侵目标。以此类推，研究人员认为这群黑客正在寻求入侵SWIFT银行间通信系统的方法。不过研究人员们还没有发现任何能够证明该组织近期曾实施SWIFT系统相关攻击活动的证据。

MoneyTaker攻击技术分析

该组织使用的多种工具部分为自主构建，也有一部分取自各类来源。Metasploit与PowerShell Empire渗透工具、银行木马（Citadel、Kronos）以及NirCmd（一款小型命令行工具，允许攻击者以远程方式执行多种命令）都只是借用别人的成果。

该黑客组织会自动替换AWS CBR中的付款数据，记录击键数据以及截屏信息，并选择创建自己的攻击程序。

能即时优化工具

调查人员表示，“该组织的成员们拥有一定技术水平，能够及时调整所使用的工具，甚至能够在攻击过程中‘即时’修改源代码。”

攻击技术

该组织采取协同方式以回避攻击目标与安全研究人员们的双重检测：

例如使用无文件恶意软件，且同时利用PowerShell与VBS脚本确保这些恶意软件始终驻留；

利用广为人知的品牌名称（例如微软、雅虎、美国银行等）生成SSL证书，用以保护其C&C通信内容不被各安全团队所检测。

他们对负责传递恶意载荷的服务器进行精心配置，确保其仅将恶意载荷发送至属于目标企业的特定IP地址列表。如果受攻击计算机重启，这些持久服务器则将再度起效以确保恶意文件始终驻留在目标系统之内。并在每一轮攻击活动之后，他们都会部署新的网络基础设施。该组织利用一款程序删除攻击过程中所用到的各程序及全部组件，从而消除所有追踪途径（不过该程序中存在一项错误，调查人员最终也正是借此获得了入侵证据）。

但研究人员们仍不清楚该黑客组织如何初步完成对目标企业网络的入侵，研究人员推测该组织首先会对目标银行内一位系统管理员的家用计算机进行入侵。