研究人员发现了一个针对海运公司的尼日利亚黑客圈,以每年尝试和窃取数百万美元。
周三,来自Secureworks Counter Threat Unit(CTU)的安全专家表示,此前身份不明的“金帆船”威胁组织专门从事企业电子邮件泄密(BEC)和企业电子邮件欺骗(BES)欺诈,以便让受害者与基金分道扬special。
在一篇博客文章中,CTU表示,Gold Galleon并非集中发送垃圾邮件和定位公司,而是专注于全球海运业务及其客户。
研究人员估计,在2017年6月至2018年1月之间,黑客企图窃取390万美元以上,平均而言,欺诈企图可能达到每年670万美元的企图盗窃水平。
BEC和BES诈骗比您的普通垃圾邮件更复杂。 信息钓鱼,其中的信息被设计成看起来是合法的雇员,联系人或其他公司,被用来诱使受害者陷入虚假的安全感。
通过显示合法,这些类型的诈骗往往会试图说服用户下载包含恶意软件有效载荷的恶意文件或访问收集凭据的恶意网页。
当这些凭证被盗时,威胁演员可以拦截真正的企业电子邮件交换,更改订单或财务细节,并悄然获得奖励。
例如,属于公司主管的受损电子邮件帐户可用于向处理此类请求的员工发送欺诈性电汇请求。 工作人员可能不会立即对此请求提出质疑,然后将钱发送到由威胁者控制的帐户。
Gold Galleon的目标是海运公司,包括提供船舶和港口管理服务的公司。 由于这些公司中有许多是在国际上运营并在不同的时区开展工作,所以电子邮件是一种至关重要的交流工具,而且它也是一种开发成熟的方式
威胁演员在盗用属于这些公司的帐户后使用各种工具。 其中包括远程访问软件,键盘记录器和密码窃取程序,其中许多可以公开在线并且投资很少。
Gold Galleon利用包括EmailPicky在内的工具从电子邮件联系人名单,Predator Pain,PonyStealer,Agent Tesla和HawkEye键盘记录程序中刮取新鲜受害者。
在韩国,日本,新加坡,菲律宾,挪威,美国,埃及,沙特阿拉伯和哥伦比亚经营的公司一直是该集团的目标,研究人员认为该团体至少由20名参与者组成。
顶端的几位数字控制着其他组员,并为他们提供任务,包括监控受损的电子邮件帐户,为受害者进行钓鱼以及尝试新的恶意软件和工具。
CTU的研究人员表示,Gold Galleon的高级人物还会指导其他经验较少的黑客并与恶意软件的交易者联系。
在一起案件中,CTU发现Gold Galleon企图利用位于韩国的一家航运公司。 该组织设法窃取了连接到该公司的八个电子邮件账户的凭证,其中包括属于该公司会计的一个。
另见:古代EITest感染链由安全团队淹没
然后,这些凭证被用来向“现金给主人”(CTM)服务合作伙伴发送欺诈请求,金额为50000美元,用于“船员工资”。 值得庆幸的是,这位潜在受害者向其他合作伙伴发送了电子邮件以进行澄清,并意识到这一欺诈行为 - 但CTU能够揭露整个计划。
然后,金加隆重复了欺诈的企图,这次是与一家日本公司(韩国公司的客户)进行的。 有人企图窃取325855美元,现在也是失败,因为红旗飞扬。
研究人员说:“在某些情况下,受害者不知道发生了什么,直到太迟。” “一些行业(在这种情况下,航运)的组织可能会面临更高的风险,因为威胁行为者将他们的努力集中在更易受这些技术影响的行业。”
威胁行为者与他们在网上交流时使用的短语之间的交流将Gold Galleon与最初为支持尼日利亚人权而设立的Buccaneer Confraternity小组联系起来。
更多精彩资讯,欢迎关注明硕股份重大件国际物流领航者!
