0
在雷鋒網(wǎng)之前所報道的黑客攻擊中,航運(yùn)業(yè)甚少出現(xiàn),但近兩年,它也成為了黑客眼中的一塊大肥肉!
雷鋒網(wǎng)發(fā)現(xiàn),自去年以來,全球已發(fā)生多起因黑客攻擊造成的大規(guī)模商業(yè)電子郵件泄密(BEC)事件,導(dǎo)致海上航運(yùn)業(yè)損失了數(shù)百萬美元。但現(xiàn)在,研究人員已經(jīng)追蹤到其背后的的黑客組織。
根據(jù)本周三(4月18日)RSA會議上發(fā)布的報告顯示,黑客正在利用了海上航運(yùn)行業(yè)網(wǎng)絡(luò)安全漏洞、以及較為落后的計算機(jī)設(shè)備入侵航運(yùn)系統(tǒng)。
來自Dell SecureWorks反網(wǎng)絡(luò)威脅部門的研究人員發(fā)現(xiàn),該商業(yè)電子郵件泄密黑客組織名叫Gold Galleon。研究人員推測,Gold Galleon專門針對航運(yùn)業(yè),并且在2017年6月至2018年1月之間竊取了至少390萬美元。
Gold Galleon的攻擊目標(biāo)包括各種類型的海運(yùn)組織,比如提供船舶管理服務(wù)的公司,港口服務(wù)公司和船長借支服務(wù)公司。Dell SecureWorks安全研究員James Bettke是該研究小組的負(fù)責(zé)人,他評價說:
“因為航運(yùn)業(yè)務(wù)涉及全球范圍、且跨布多個時區(qū),涉業(yè)人員的溝通基本都是靠郵件——因此對于BEC詐騙小組來說,這就像一個“唾手可得”的誘人果實。”
Bettke在接受采訪時表示:
“Gold Galleon 會以航運(yùn)行業(yè)為攻擊目標(biāo)是有多方面原因的……因為從安全性缺失與有趣的文化層面角度來看,航運(yùn)業(yè)地區(qū)是一個完美的攻擊目標(biāo)。一方面,許多非常小的航運(yùn)公司并不擔(dān)心安全問題——他們沒有雙重身份驗證,并且運(yùn)行的是Windows XP系統(tǒng);另一方面,許多小航運(yùn)公司正在開展國際貿(mào)易并主要依靠電子郵件進(jìn)行通信,所以很難確定是否被人假冒。”
SecureWorks發(fā)現(xiàn),Gold Galleon黑客組織應(yīng)該至少有20名網(wǎng)絡(luò)犯罪分子構(gòu)成,他們可能位于尼日利亞。這些罪犯共同合作,實施BEC黑客攻擊的各個部分——從最初的協(xié)議攻擊到監(jiān)控賬戶等。
根據(jù)SecureWorks的調(diào)查結(jié)果,Gold Galleon通過收集公開可用的聯(lián)系信息(例如公司的網(wǎng)站)以及利用營銷工具 BoxxerMail 或電子郵件提取器來從公司網(wǎng)站上獲取電子郵件地址,進(jìn)而識別目標(biāo)攻擊對象。
得以進(jìn)入目標(biāo)郵箱后,網(wǎng)絡(luò)犯罪分子會通過一款名為 EmailPicky 的黑客工具,進(jìn)一步獲得收件人的聯(lián)系人列表。
Gold Galleon使用帶有惡意附件的魚叉式網(wǎng)路釣魚技術(shù),達(dá)到犯罪目的。這些附件通常會包含一個帶鍵盤記錄功能和密碼竊取功能的遠(yuǎn)程訪問工具。
SecureWorks在他們的安全報告中提到:
“GOLD GALLEON 部署的工具包括 Predator Pain,PonyStealer,Agent Tesla,以及Hawkeye 鍵盤記錄器,所有這些 GOLD GALLEON 使用的惡意軟件都可以從線上黑客市場獲得。”
一旦該黑客團(tuán)體入侵了目標(biāo)電子郵箱,該犯罪團(tuán)伙的成員就能監(jiān)控這個郵箱中正在進(jìn)行的商務(wù)活動。
當(dāng)付款細(xì)節(jié)通過發(fā)票的形式轉(zhuǎn)發(fā)給買方時,黑客就會攔截賣方的電子郵件并將發(fā)票上的目標(biāo)銀行賬戶更改為他們自己的收款賬戶。
根據(jù)SecureWorks透露:“
為了在特定交易中模仿買家或賣家使騙術(shù)不易被識破,GOLD GALLEON和其他BEC小組會專門購買與買方或賣方公司名稱非常相似的域名,他們將此稱為“克隆”。
Bettke補(bǔ)充說道:
“該黑客組織使用一系列具有鍵盤記錄功能和密碼竊取功能的商品遠(yuǎn)程訪問工具來竊取電子郵件帳戶憑證。Gold Galleon的高級成員還會定期在他們自己的系統(tǒng)上測試惡意軟件,并通過在線病毒掃描程序判斷檢測率。”
經(jīng)過篩選該黑客組織的用戶名和密碼,SecureWorks懷疑Gold Galleon是尼日利亞的一個名為Buccaneer Confraternity或是National Association of Seadog的兄弟會組織。
Bucaneers Confraternity最初成立于尼日利亞,在該國支持人權(quán)運(yùn)動。有報告表明,該群體中的一小部分可能正在從事犯罪活動。SecureWorks公司發(fā)現(xiàn),為了躲避黑客攻擊,一些有被攻擊風(fēng)險的公司開始實施雙重身份驗證,并檢查企業(yè)電子郵件控制面板是否存在可疑的重定向規(guī)則。
Bettke說道:
“他們使用的惡意軟件非常簡單,我建議海事行業(yè)的公司采用雙重身份驗證和更強(qiáng)的賬戶管控措施,此外如果有人出于一些隱晦的要求需要更改賬戶,公司員工應(yīng)該先通話確認(rèn)而不是僅僅簡單地以電子郵件進(jìn)行溝通。”
雷鋒網(wǎng) VIA threatpost
雷峰網(wǎng)原創(chuàng)文章,未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。
