Palo Alto Networks威脅情報小組Unit 42近期公佈了來自奈及利亞駭客組織SilverTerrier的商業電子郵件(BEC)調查報告。根據美國聯邦調查局(FBI)旗下的網路犯罪投訴中心(IC3)最近發布的網路年度報告,過去一年中BEC詐騙攻擊造成了17.7億美元的損失,成為受害者損失最慘重的手法。這數據讓網路戀愛詐騙、身份盜用、信用卡詐欺、網絡釣魚和勒索軟體等事件,顯得相形失色。
此外,在2019 年中,發生在台灣地區與SilverTerrier相關的攻擊事件,共發現1,747個樣本和38,270次攻擊,在Palo Alto Networks定義的北亞地區包括日本、大中華區、南韓中受到攻擊的次數為最多的市場。
該報告詳細介紹了駭客在這種犯罪形式下是如何發動數百萬次的攻擊,並概述了Palo Alto Networks為了應對這種威脅在內部及外部所採取的行動。以下為Palo Alto Networks整理出辨識SilverTerrier威脅的重點面向:
攻擊目標
研究這些攻擊的目標時,Palo Alto Networks發現SilverTerrier駭客鎖定目標是毫不留情的。與前年相比數據顯示,自去年6月記錄了245,637個BEC攻擊峰值之後,2019年平均每月記錄了92,739個BEC攻擊。與2018年相比,這一數字增長了172%。一旦入侵這些網路後,該組織最常見的攻擊工具是竊取信息的惡意軟體工具(Information Stealers)和遠程管理工具(RAT)。
攻擊針對所有行業領域,包括小型到大型企業,醫療保健組織,甚至是地方和聯邦政府機構。排名前五的產業,分別為高科技產業、專業法律服務、製造業、教育業、批發和零售業。
透過研究傳遞方式,Palo Alto Networks發現97.8%的攻擊利用電子郵件的網路傳輸通訊協定,達到目標網路,因此使用能夠評估通過這些協議、進入公司網路內容的資安解決方案,更顯得重要。
惡意軟體
威脅情報小組發現,在過去幾年中,SilverTerrier 攻擊者採用新技術、戰術和能力以增強其詐騙計劃的能力不斷增強。隨著對該威脅的分析將滿 5 年,情報小組發現在許多方面SilverTerrier 參與者已經發展到一個程度,也就是在傳遞技術、惡意軟體包裝和技術能力等方面表現出更加成熟的跡象。
情報竊取(Information Stealers)
Information Stealers是主要用於竊取訊息的一個工具,最主要用於被駭系統上截取屏幕快照並竊取密碼和敏感文件。這種類型的惡意軟體會收集被駭數據,使用各種通訊協議在駭客的控制下將其發送到基礎架構中。
過去五年中,Palo Alto Networks一直在使用10個不同的商業竊取訊息工具來追蹤SilverTerrier成員,但是隨著時間過去,新工具已經出現在市場上,而效率較低的舊工具卻變得不那麼受歡迎了。目前仍積極被使用新工具是AgentTesla、AzoRult、Lokibot、Pony,以及PredatorPain。
遠端伺服器管理工具
遠端伺服器管理工具,是在提供對受威脅系統的遠程訪問程序。它擴展了情報竊取者竊取機密文件的能力,並且通常為RAT用戶提供了與被駭系統直接交互的能力。由於這些特性,相較於情報竊取,RAT具有更複雜的代碼和基礎架構要求。利用RAT,駭客可以直接修改用戶系統,進而取得網路資源。
授權與執法
過去的幾年中,Palo Alto Networks發起了一些措施來應對這種持續的威脅。Palo Alto Networks一直在積極支持美國以及國際執法機構,以遏制SilverTerrier,並代表客戶打擊更廣泛的BEC活動和惡意軟體工具使用。
結論
自2020以來,最大的威脅是駭客們積極部署商業惡意軟體,使得這些複雜的BEC計劃進而能成功。商業惡意軟體開發人員首次亮相以來,SilverTerrier組織成員一直在增加RAT的使用,2019年觀察到的攻擊數量比上一年增長了172%。沒有跡象表明這種威脅會放慢速度。Palo Alto Networks強烈建議所有行業的網路資安部門必須要注意這些趨勢,並接受必要的員工培訓,以識別和消除該威脅組常用的手法。就防範建議來說,可以在電子郵件上使用多元身份認證,可能會給BEC行為造成額外的阻礙,讓駭客無法輕易入侵電子郵件帳戶來偽裝成其他人。
