尼日利亚黑客试图从航运公司窃取数百万美元

  • 时间:
  • 浏览:27
  • 来源:it300
尼日利亚黑客试图从航运公司窃取数百万美元

Secureworks最近发现了一个威胁行为者,其商业电子邮件泄密(BEC)活动仅关注全球海运公司及其客户。

据称GOLD GALLEON,该集团至少试图窃取2017年6月至2018年1月期间,他们的预期受害者将获得390万美元。安全研究人员表示,总体而言,该组织每年平均窃取670万美元。

作为BEC社会工程计划的一部分,演员通常使用鱼叉式网络钓鱼电子邮件窃取负责人的电子邮件凭据。处理业务交易。这使他们能够拦截相关各方之间的电子邮件,修改财务文件,并将资金重定向到攻击者控制的银行账户。

Alongsid在商业电子邮件欺骗(BES)欺诈方面,BEC继续在全球范围内造成重大损失,每年数十亿美元。

为了收集电子邮件帐户凭据并发起攻击,GOLD GALLEON使用各种商品远程访问工具具有键盘记录和密码窃取功能。然而,攻击者还在他们自己的系统上测试恶意软件,并跟踪他们的工具的检测率,Secureworks报告。

该组织可能位于尼日利亚,不仅针对航运组织,还针对提供船舶管理的公司服务,港口服务和现金到主服务。

通常位于世界各地并在不同时区运营,涉及航运业的公司通常完全依靠电子邮件来获取cond提起商业交易,这使得其中一些组织极易受到BEC欺诈手段的影响。

GOLD GALLEON由至少20名罪犯组成,共同针对韩国,日本,新加坡,菲律宾,挪威的公司开展BEC活动,美国,埃及,沙特阿拉伯和哥伦比亚。他们使用类似于其他BEC / BES组的工具,策略和程序(TTP),包括公共可用的远程访问特洛伊木马(RAT),加密器和电子邮件诱饵。

该组织有几个高级人员协调并分配任务给其他经常处理新工具购买的人,并指导没有经验的成员。每个成员负责不同的任务,例如RAT模糊处理,受害者电子邮件监视等。

该组织使用代理和隐私服务来掩盖其来源,但有证据表明攻击者在尼日利亚境外活动。他们似乎经常通过基于尼日利亚的基础设施连接到互联网,并且在通过即时通讯服务进行的对话中使用尼日利亚Pidgin英语进行观察。

在分析该组的用户名,密码和其他工件时,Secureworks研究人员得出结论,GOLD GALLEON的成员与尼日利亚的一个受欢迎的兄弟会有很强的联系,这个兄弟会被称为Buccaneer Confraternity(最初是为了支持人权和社会公正而建立的,据说兄弟会的一个小组参与了犯罪活动)。

[ 123]“该小组遵循通常依赖的共同运作模式在低级,免费或廉价的工具上。在社会工程,敏捷性和持久性方面弥补了技术实力所缺乏的。尽管存在技术挑战和对网络犯罪工具,基础设施和自动化的最小投资,该集团的利润率比初始投资高出几个数量级,“Secureworks说。

该集团可能通过公开侦察确定目标电子邮件地址可用的联系信息,但它也可能使用商业上可用的营销工具来刮取公司网站上的电子邮件地址。研究人员表示,威胁演员有时会购买目标企业的电子邮件列表。

在访问目标收件箱后,攻击者使用免费工具EmailPicky从中提取联系人。电子书和目标与之交换的所有电子邮件地址。对于演员而言,这种策略似乎非常富有成效,因为许多收获的联系人都在海运业。

携带恶意附件的鱼叉式网络钓鱼电子邮件被发送给目标受害者,以便部署鼠。该小组使用诸如Predator Pain,PonyStealer,Agent Tesla和HawkEye键盘记录器之类的工具。接下来,攻击者通过简单地修改卖方发票中的银行详细信息来监控受害者的电子邮件帐户以拦截商业交易并重定向资金。

该集团还购买了与买方或卖方的公司名称非常相似的域名以及注册的电子邮件包含目标名称变体的帐户,这使得他们冒充任何一方。

在调查过程中,Secureworks的研究人员能够打断数十次BEC欺诈企图并通知受害者以防止转移。他们还向银行报告了确定的攻击者控制账户,以阻止欺诈性使用。总体而言,研究人员避免了超过80万美元的损失。

“由BEC引起的货币损失对受害者和受影响的企业来说可能是重大的。在某些情况下,受害者不知道发生了什么,直到为时已晚。一些行业的组织(在这种情况下,运输)可能会面临更高的风险,因为威胁行动者将他们的尝试集中在更容易受这些技术影响的行业,“Secureworks总结道。

相关:预防商业电子邮件妥协需要人性化

相关:欺诈运动瞄准财富500强公司的应付账款联系人

猜你喜欢

希腊最高法院批准俄罗斯对比特币嫌疑人的请求

希腊最高法院批准俄罗斯对比特币嫌疑人的请求希腊最高法院上周五表示,一名据称使用比特币数字货币洗钱40亿美元的俄罗斯人应该被引渡到俄罗斯,一位法院消息人士说。AlexanderV

2019-02-01

塑造美国网络防御的创造性破坏和自满情绪

塑造美国网络防御的创造性破坏和自满情绪创造性的破坏,思维的范式转换取代现有的秩序,可能是一个难以捉摸的概念,但它作为人类行为驱动力的力量是不可否认的。在硅谷和其他美国的高层科技

2019-02-01

为什么我(非常)担心PRISM

为什么我(非常)担心PRISM美国国家安全局正在利用我们的数字生活,监控语音电话,电子邮件,社交媒体以及谁知道什么。美国国家安全局方面的人说,这是为了国家安全;它已经停止了恐怖

2019-02-01

先发优势:为什么新的恶意软件最初会打败反恐

先发优势:为什么新的恶意软件最初会打败反恐虽然反病毒解决方案可以有效对抗广泛使用的恶意软件,但是有一个很好的机会,新的恶意软件会躲过那些解决方案。最近有重大安全事件的报告激增,

2019-02-01

台湾银行抢劫与朝鲜黑客有关

台湾银行抢劫与朝鲜黑客有关最近针对台湾一家银行的网络抢劫事件已被安全研究人员联系到一个据信在朝鲜境外活动的臭名昭着的威胁组织。黑客利用SWIFT全球金融网络大致窃取来自台湾远东

2019-02-01