尼日利亚电子邮件攻击发展成为可信,危险的威胁
多年来,从尼日利亚的网络罪犯正在制定了一个易于发现和忽视的业余和粗糙的“419”垃圾邮件的声誉,但该国的威胁演员现在正在部署高度复杂的商业电子邮件妥协(BEC)攻击,以及根据Palo Alto Networks的42次威胁研究部门的彼得··孕球,根据世界各地的组织是一种活危险的威胁。
由于最近的联邦调查局统计数据,袭击事件是组织面临的最有利可图和突出的威胁,占全球损失超过260亿美元(20.6亿英镑/€23.4亿英镑)损失 - 以及高调的估计全球损失的估计全球损失网络安全事件,如Wandacry和Notpetya。
第42股一直在追踪一组尼日利亚网络罪犯,六年前谦卑的开端被称为Silverterrier,作为尝试商品恶意软件攻击的少数辛辛,包括一组超过480名威胁演员和现在经营的群体。
“在2014年至2019年的五年内,Silverterrier演员从作为成熟网络罪犯的新手威胁对手发展,”罗文在披露博客中。
“根据我们的最新调查结果,我们在2019年对专业和法律服务业的攻击增加了1163%。虽然我们缺乏对根本原因的洞察力,但这跳跃了展示了Silverterrier演员之间的目标实践中的重大转变。“
第42单元透露,该小组被送出了数千个,有时在2019年期间每月攻击数十万次袭击,这是2018年活动的显着飙升,几乎所有的攻击都可以获得杠杆发布的电子邮件协议来达到目标网络。
简单的邮件传输协议(SMTP)流量占攻击的69%,邮局协议3(POP3)和Internet消息访问协议(IMAP)占26%和2.8%,反映了SMTP作为行业标准的趋势。除此之外,Web浏览占攻击的1.9%,通过文件传输协议(FTP)流量攻击占占用0.3%。
一旦网络被渗透,本集团往往会使用信息窃取器和远程管理工具(也称为远程访问特洛伊木马或大鼠),并且在此表示Silverterrier现在已经演变为必须考虑的位置与其他既定威胁群体相提并论。
2019年,Palo Alto的Wildfire恶意软件分析服务发现了超过27,000多个Silverterrier恶意软件,其中大多数商品工具采用各种混淆技术欺骗诱惑抗病毒产品。样品对Virustotal的比较显示平均检出率为57.3%。
Silverterrier目前使用许多流行的商品信息偷窃家庭反对其受害者,包括Agenttesla,Azorult,Lokibot,小马和捕食者遗迹,尽管它自2017年以来,其使用信息窃贼已经下降,可能是由于缺乏新的工具和进步安全景观渲染它们的效果效率较低。
它使用大鼠的使用,即提供网络罪犯远程进入受损的账户,通常比信息抢夺者更复杂,在过去五年中增加。Silverterrier已经使用13种不同的大鼠观察到,其中最受欢迎的是纳米和NetWire,尽管它也在利用Adwind,DarkComet,Hevencel Monder,Remcos,Revenge和Wshrat。
renals表示,从信息盗贼转向大鼠表明本集团的技术能力不断增长,加上这些工具的增长效率。他说,他预计将在2020年继续趋势。
单元42发现Silverterrier在其目标中大部分不分青红皂白,虽然高科技和专业和法律服务,但仍有风险的所有行业群体最常用。
研究人员也更容易能够将特定的活动归因于Willterrier内运营的炼素,而不是通常可以使用其他高级持久威胁(APT)组。
肾脏归零在特定的史式,演员X中的最活跃成员之一,众所周知,尼日利亚东南部的奥尔提里联邦技术大学举行本科学位,并在尼日利亚的尼日利亚国家青年服务兵团。现在在他的40年代,他与三个孩子结婚,仍然生活在奥利里,在那里他作为一个合法的商人和IT顾问。
Actor X维护有效的社交媒体账户,联系人和朋友在他的社区中包括突出的PS,包括一些在执法部门工作。
他通过超过90个电子邮件账户注册了480多个域名,以支持其他犯罪分子和他自己的活动,并产生超过4,000多个Malware样本,用于抵御Palo Alto客户超过363,000次。单元42表示,随着时间的推移,他的技术技能迅速提高。
“结合所有这些特征赋予对目标我们客户的威胁的精致了解,”肾脏说。“特别是,对手是一个人,而不是具有技术大学教育的漏洞或软件,已经提出了开发他的广告系列所需的网上别名的网络,并且遵循造成不分青红皂白地部署恶意软件的策略,并以规模为动机,产生支持他的家庭所需的收入。“
他说,随着2020年的佩戴,面临的最突出的威胁组织将是部署的商品恶意软件,以支持复杂的BEC计划,这证明了第一个尼日利亚商品工具开发商的出现以及越来越多的Silverterrior演员中的大鼠。
“因此,我们强烈鼓励在所有行业垂直方面鼓励网络防御团队注意到这些趋势,并确保员工接受识别和消除该威胁小组所采用最受欢迎的工具所需的培训,”renals说。
有关单位42的研究的更多详细信息,包括更多关于使用信息窃取和大鼠的统计数据,可以在此阅读可能是尼日利亚的第一个活动恶意软件开发人员的详细信息,以及妥协指标(IOC)。
