SilverTerrier发布《2019年尼日利亚企业电子邮件攻击更新分析报告》

执行摘要

在2019年,企业电子邮件攻击(BEC)保持其排名,成为我们客户面临的最赚钱和最突出的威胁。根据联邦调查局(FBI)网络犯罪投诉中心(IC3)最近发布的年度报告,在2019年期间,BEC攻击造成了17.7亿美元的损失。这一数字与浪漫骗局,身份盗用,信用卡欺诈,网络钓鱼和勒索软件在同一时期合并在一起。 FBI还在2019年9月发布了新闻稿,报道了所有50个州和177个国家的案例,联邦调查局还宣布在前三年内,全球BEC损失超过260亿美元。放眼来看,与该威胁相关的已知损失和报告损失现在超过了WannaCry(估计为40亿美元)和NotPetya(估计为100亿美元)的估计全球总损失。 鉴于威胁的严重性及其对我们客户的影响,Palo Alto Networks的第42组研究人员继续将研究的核心领域集中在尼日利亚网络犯罪上,原因是来自该地区的BEC攻击具有相称性和绝对性。这些行动者被命名为SilverTerrier,现在已经累计产生了81,300个与210万次攻击相关的恶意软件样本。从2014年几名从事商品恶意软件试验的个人开始之初,我们最新的全球数据表明,威胁行为者的数量已大大增加,涵盖了我们今天跟踪的480多个不同行为者和群体。 在五年中(从2014年到2019年),SilverTerrier参与者已经从新手威胁对手演变为成熟的网络犯罪分子。 根据我们的最新调查结果,我们发现2019年针对专业和法律服务行业的BEC攻击数量增加了1163%。尽管我们对根本原因没有足够的了解,但这一增长表明SilverTerrier参与者之间的针对性做法发生了重大变化。 BEC攻击在2019年6月达到峰值,达到245,637 BEC,该年度结束时平均每月有92,739 BEC攻击,比2018年增加了172%。在这些BEC攻击中,有97.8%利用电子邮件协议到达目标网络。一旦组织渗透到组织中,SilverTerrier参与者就可以使用它们攻击组织的最常用工具是信息窃取者和远程管理工具(RAT)。 在此报告中,我们确定了与SilverTerrier攻击相关的趋势,为网络防御者提供了完善的对手信息,突出了与尼日利亚第一位商品工具开发人员的出现相关的影响,并概述了Palo Alto Networks在内部采取的行动以及从外部应对这种威胁。

进攻

在2018年,我们注意到每月平均有34,039起针对我们客户群的攻击。在2019年期间,随着每月攻击率超过50K,然后是100K,最后是200K阈值,这些指标增加了一倍以上。在2019年6月达到245,637次攻击的峰值之后,每月平均有92,739次攻击,比2018年增加了172%。此外,尽管我们继续评估这种增长代表了全球趋势,但仍然需要注意我们的指标仅反映了针对我们客户群的攻击,因此,假定这些行为者发起的全球攻击的总数要大得多。
图1.从2014年7月到2019年12月的尼日利亚恶意软件活动
在探究这些攻击的目标时,我们发现尼日利亚威胁行为者的目标仍然是不分青红皂白的。我们的数据显示,攻击针对所有行业领域,包括小型到大型企业,医疗保健组织,甚至是地方,州和联邦政府机构。在衡量排名前五的目标行业时,我们发现了以下内容:
  • 高科技行业受到的攻击次数最多,从2018年的16.4万增加到2019年的31.3万,几乎翻了一番。
  • 专业和法律服务行业紧随其后,共受到24.8万次攻击,从2018年的第五大目标行业跃升至2019年的第二大目标行业。在2019年攻击数量惊人地增长1163%的推动下,这一增长表明SilverTerrier参与者之间的定位做法发生了变化。
  • 制造业排名第三,2019年的攻击次数为14.5万,高于2018年的6.8万。
  • 教育行业排名第四,2019年攻击次数为143K,高于2018年的53K。
  • 批发和零售业排名第五,2019年发生了10.7万起攻击,比2018年增长了15 
图2.前五个目标行业
通过查看传递向量,我们发现97.8%的攻击利用电子邮件协议到达目标网络,从而强调了采用并启用能够评估通过这些协议进入公司网络的内容的安全解决方案的重要性。
  • 在列表的顶部,SMTP流量占2019年观察到的攻击的864K(69%)。
  • POP3和IMAP分别构成了324K(26%)和35K(2.8%)攻击。
    • 还值得注意的是,IMAP流量中见证的攻击数量在2019年首次下降。我们估计,这一下降很可能是由于客户在现代化并采用SMTP作为行业标准时不再使用IMAP所致。
  • 除了电子邮件之外,网络浏览是2019年第四大最常见的传递媒介,攻击量达到24K(1.9%)。
  • 我们仅观察到通过FTP流量进行的3.6K(.3%)攻击。
尼日利亚威胁行动者的前5名交付应用程序
图3.前五个交付应用程序

恶意软件

在过去的几年中,我们强调了SilverTerrier参与者不断扩展的能力,以运用旨在推进其欺诈性计划的新技术,策略和功能。同时,网络安全行业历来将尼日利亚的恶意软件行为者描述为正在出现的威胁,而不是既定的威胁。随着对该威胁组的分析已有5年历史,我们认为现在至关重要的是要认识到,在许多方面,SilverTerrier参与者已经发展到可以在其交付技术,恶意软件中显示与已建立威胁组一致的成熟迹象的地步。包装和技术能力。 在2019年期间,我们的云交付的WildFire®恶意软件分析服务识别了27,310个SilverTerrier恶意软件样本。这些样本中的绝大多数是商品恶意软件工具,这些工具采用了多种旨在迷惑传统基于签名的防病毒程序的混淆技术。 将这些样本与VirusTotal进行比较后发现,发现时所有供应商的平均检测率为57.3%,证明了混淆技术针对传统防病毒平台的有效性。在2019年底进行的后续比较确定了平台上可用样本的更大比例,但是不幸的是,这种增加并未在各个供应商的检测率上产生任何明显的改善。违反直觉的是,平均比率实际上略有下降,降至57.1%,这表明即使有时间的好处和长时间暴露于网络安全社区,这些样本仍未被40%以上的防病毒解决方案检测到。 通过对商品恶意软件工具本身进行分析,我们发现尼日利亚的威胁行为者继续采用与工具受欢迎程度,有效性,检测率,可用性和其他市场因素一致的新功能,而不再使用旧功能。 在跟踪这些趋势时,以下各节提供了以下主要洞察力:
  1. 通知网络管理员其网络面临的主要威胁;
  2. 指导网络安全行业优先考虑检测和补救功能;和
  3. 使执法人员能够针对最流行的工具专注于归因和法律程序。

信息窃取者

信息窃取者是使用核心信息窃取组件设计的工具,该组件通常会在受感染的系统上捕获屏幕截图,密码和其他敏感文件。一旦被捕获,恶意程序便将这些被盗物品打包并通过各种协议将其传输到由恶意参与者控制的互联网基础设施。 在过去的五年中,我们跟踪了SilverTerrier参与者对10个不同商品信息窃取者家庭的使用情况。随着时间的流逝,随着新工具在市场上的出现,陈旧,效果不佳的工具逐渐流行起来。 我们的数据显示,以下五个工具的使用率随后下降到可以忽略的水平:AtmosKeybaseISpySoftwareISR StealerZeus。 相反,SilverTerrier actor仍在使用五个工具:AgentTeslaAzoRultLokibotPonyPredatorPain。我们对这些恶意软件家族的分析发现,2019年尼日利亚威胁行为者平均每月产生516个独特样本(图4)。然而,尽管每月都有新样本稳定流入,但信息窃取者的使用似乎在2017年达到顶峰,然后进入持续下降的状态。尽管这种下降的根本原因很难查明,但我们评估出,缺乏新工具进入市场,网络安全领域的进步,执法行动的增多,控制基础设施的例行曝光以及这些行为者向RAT的转变所有促成因素。
尼日利亚威胁者使用的顶级信息窃取者
图4. 2014-2019年的信息窃取者样本
在该类别中的五个活动工具中,我们发现SilverTerrier参与者每月仅生产三个数量超过50个样本的工具。与2018年一致,LokiBot是2019年最受欢迎的工具,平均每月有291个新样本。然而,这一平均水平在很大程度上因2019年5月的1240个样本的异常高,一个月来高涨。小马(也称为Fareit)排名第二,平均每月146个样本,但全年产量大幅下降。最后,我们观察到2019年AzoRult的采用量有所增加,全年平均每月有55个样本。
图5.最受欢迎的信息窃取者2019
另一方面,多年来已获得多次更新的工具PredatorPain从2016年的峰值使用量继续下降,参与者在2019年平均每月仅生产17个样本。此外,AgentTesla很小.NET键盘记录器自2017年使用高峰以来也有所下降,参与者现在在2019年平均每月不到四个新样本。

远程管理工具

RAT是旨在提供对受感染系统的远程访问的程序。这些工具的扩展超出了信息窃取者固有的敏感文件的基本捕获范围,并且通常允许其用户直接与受害者计算机进行交互。为此,就代码和基础架构要求而言,这些工具通常比信息窃取者更为复杂。利用这些工具,尼日利亚威胁者可以代表受感染的用户修改系统,访问网络资源并执行常见功能。在过去的五年中,我们跟踪了SilverTerrier对13个不同RAT系列的使用情况。与其他类型的商品恶意软件类似,这些工具的流行程度上升和下降,并且在2019年期间,我们的数据显示LuminosityLinkNJRatQuasarWarZone RAT均已降至可忽略的水平。 该只大鼠仍然存在不同程度的积极利用是:NetwireDarkComet纳米芯RemcosImminentMonitorAdwindHworm复仇WSHRat。合并后,SilverTerrier演员在2019年平均每月制作609个样本,与2018年相比产量显着增长140%(图7)。这种增长代表了在我们追踪该威胁群体的五年中,RAT的生产和使用率首次超过了信息窃取者的抽样率。我们估计,这种转变在很大程度上表明技术能力的提高,并结合这些工具在实施欺诈性计划中的有效性。此外,随着越来越多的参与者采用这些工具,我们预计这一增长趋势将在整个2020年持续。
尼日利亚威胁者使用的RAT
图7. 2014-2019年远程管理工具样本
最受欢迎的RAT在2019年收窄。在2018年,有六个工具超过了每月平均50个样本的平均值,而在2019年,这个数字下降到只有两个。最受欢迎的是NanoCore,平均每月有384个样本,表明增加了520%。由于该工具开发人员于2017 年被捕,因此这一结果仍然特别令人着迷。尽管他最初被监禁,但仍然可以免费使用该工具的“破解版”,并且鉴于其有效性,它已成为“职业工具”。2019年第二大最受欢迎的工具是Netwire,我们平均每月观察到64个样本。自2014年以来,SilverTerrier演员一直使用此工具,但由于演员的追随者很少,但仍然忠实,因此该工具仍然很受欢迎。
图8.最受欢迎的远程管理工具2019
相比之下,我们发现有七个RAT一直在积极使用中,并且在整个2019年都采用了拖延的部署和最少的部署。在这七个中,Remcos(在2016年首次出现)和DarkComet(在2014年首次出现)是仅有的两个保持相对稳定采样率的RAT。 。Remcos的平均采样率为每月42个样本,而DarkComet的平均采样率为每月24个样本。 相反,Adwind,Revenge和ImminentMonitor的使用率在这一年中都下降了,每月的采样率分别为36、6和5个采样。值得注意的是,帕洛阿尔托网络还查明背后的开发商AdwindImminentMonitor,并与国际合作执法随后拆除全球ImminentMonitor基础设施。 最后,HWorm和WSHRat之间的联系是值得注意的。HWorm的代码最初于2013年发布,多年来已使用多种工具重新打包。但是,虽然在2018年3月首次观察到SilverTerrier的使用情况,但HWorm的使用情况很简短。该工具在2018年11月达到顶峰,直到2019年4月才下降,平均每月只有12个样本。巧合的是,我们估计是HWorm的尼日利亚变种的WSHRat样本于同月(2019年4月)开始出现,并持续了整年,平均每月产生33个样本。
图9最不受欢迎的远程管理工具2019

归因

2014年,第42单元发布了第一份研究报告,确定了一小部分尼日利亚恶意行为者利用恶意软件谋取经济利益。在过去的五年中,参与这项活动的参与者数量大大增加了。截至本出版物发布之时,我们已将攻击归因于480多个尼日利亚威胁演员和团体。这些参与者总计注册了23,300多个欺诈和恶意域。其中许多域直接支持大约81,300个恶意软件样本的命令和控制(C2)活动,这些样本与针对我们客户群的210万次攻击相关。 我们着眼于参与者本身,我们发现企业网络安全团队传统上倾向于以能力和漏洞来解释对各自组织的威胁,同时经常将有做事者作为可捉摸的,不稳定的,无名的对手。这种习惯自然是由于将APT级别和勒索软件活动归因于具有独特动机的特定个人而造成的大量困难而自然形成的。但是,在网络犯罪的世界中,归因通常更容易实现,因此,有关SilverTerrier攻击者的详细信息已很容易掌握。因此,在寻求使网络防御者,更重要的是他们的公司雇员,能够更好地理解和防御这种威胁时,我们认为深入研究典型SilverTerrier演员的个人资料很有价值。此外,我们提供了第一个尼日利亚商品工具开发人员的说明,以便更好地阐明这种威胁的基本人性和动机。

恶意软件演员

演员X是实际的人,并且是我们跟踪的更活跃的SilverTerrier演员之一。他拥有Owerri联邦技术大学(FUTO)的大学学位。毕业后,他在尼日利亚国家青年服务队完成了一年的国民服务。现在他40多岁,已婚,是三个孩子的骄傲父母。他们在一起生活在尼日利亚的Owerri,在那里他似乎活跃于社区,并以提供技术服务的合法商人的身份出现。此外,与许多威胁行为者一样,他在Facebook和Skype上维护帐户,他的联系人包括朋友,家人,其他恶意软件行为者,当地执法机构以及社区中的知名人物。 在在线活动方面,Actor X已经注册了480多个域,目的是支持其他威胁行为者以及他自己的欺诈活动。为了注册这些域,他已经与Microsoft,Yahoo和Google等常见电子邮件提供商建立了90多个电子邮件帐户。虽然这些帐户都遵循使用别名或昵称后跟数字的模式,但他的平台多元化策略可确保如果其中一个提供商采取行动关闭这些帐户,则一定程度的冗余。 最后,由于涉及到他的非法活动,这个单一的威胁行为者已经产生了4000多个恶意软件样本。随着他的技能从新手提高到高级,这些样本与他经过一段时间试验的15个不同的恶意软件家族相关。结合起来,我们在超过363K的针对客户的自动攻击中观察到了这些样本。这样一来,我们评估出他的攻击手段是不分青红皂白的,因为他已经瞄准了31个州的2600多家客户,包括93个地方,州和联邦政府实体。 结合所有这些特征,可以使对目标客户的威胁有更深入的了解。具体来说,攻击者是指受过大学技术教育的人(不是漏洞或软件),已经投入时间来开发其竞选活动所需的在线别名网络,并且遵循不加选择地部署恶意软件的策略,并有足够的动机来产生养家所需的收入。

工具开发人员

在2018年1月,一个不知名的开发人员开始在流行的黑客网站HackForums [.net]上发布一种名为“ FUD Crypt”的新工具。开发人员的价格为每月65美元,还在YouTube上发布了一个教程,展示了如何使用他的新密码器使RAT,键盘记录程序和其他恶意软件文件无法被防病毒解决方案检测到。11个月后,即2018年12月,另一个名为“ Unknown Crypter”的工具以类似的方式以类似的方式投放市场。该工具的价格为每周20美元,还附带了YouTube教程。这两个教程之间的共同点是,开发人员花时间为每个视频中使用的免版税音乐的来源提供了信誉。
尼日利亚威胁演员广告
图10. UnknownCrypter广告
在这两个工具发布之后,于2019年4月,我们看到了HWorm RAT的新变体以VBScript和JavaScript语言打包为“ WSHRat”上市。这个工具的价格为每月24美元,再次提供了自己的YouTube教程,与前两个教程一样,它的音乐功不可没。 因此,除了在视频教程中引用音乐来源以外,这三个工具还有什么共同点?从2019年1月开始,一名独立研究人员着手回答这个问题。在一系列五个博客中,研究人员记录了他的发现,这些发现将所有这三个工具都链接到同一位开发人员。将这一分析再进一步一步,并将代码的通用性扩展到开发人员的归属,Unit 42发现FudCrypt [。] com网站包含尼日利亚注册详细信息。此外,用于域注册的电子邮件地址也解析为属于尼日利亚个人的Skype帐户。 查看UnknownCrypter,我们在教程视频的桌面上找到了两个感兴趣的项目。第一个是包含与上述Skype帐户相同名称的文件夹,第二个是名为“ Fudcrypt edited.zip”的文件。同时,在UnknownCrypter广告中引用的Skype帐户上,我们发现同一Gmail帐户同时链接了Unknown Software和WSH Software帐户。进一步查看该电子邮件地址,揭示了四个动态DNS域,这些域均使用尼日利亚IP地址注册以支持WSHRat基础结构。
图11.链接未知软件和WSH软件帐户
在深入研究WSHRat时,我们发现销售网站WSHSoftware [。]站点包含与FudCrypt [。] com相同的尼日利亚注册地址,电话号码和电子邮件地址。进一步移动电子邮件地址可以看到30岁左右那位受过大学教育的人的Facebook个人资料,他是两家软件公司的联合创始人兼首席执行官。此外,在2019年1月,这个人恰好在出售基于Java的UnknownCrypter时就在Java开发项目上寻求帮助的广告,而WSHRat可能正在开发中。
尼日利亚威胁者招募第一名开发商
图12.开发人员寻求帮助的广告
我们发现此发展的意义重大,因为它们直接说明了SilverTerrier威胁的演变和成熟度。尽管2014年可能是记录在案的第一起记录在案的尼日利亚人利用恶意软件牟取经济收益的案例,但这种归因表明,威胁从“脚本小子”状态演变为商品恶意软件网络犯罪分子,再到其本机开发人员的威胁用了不到五年的时间。具有在全球范围内营销和销售工具的能力。不管这些工具的有效性如何,对于一个不断发动有罪不罚感的BEC运动的威胁组织,应该将这一开发活动视为重要而令人震惊的一步。

授权执法

在过去的几年中,Palo Alto Networks发起了一些举措来应对这种持续的威胁。我们一直在积极支持国内和国际执法机构,以遏制SilverTerrier,并代表客户打击更广泛的BEC活动和恶意工具使用。 重点包括:
  • 2018年6月–美国司法部(DOJ)宣布了 WireWire行动,其中74名个人(包括29名尼日利亚人)因参与BEC计划而被捕。
  • 2018年10月–美国司法部以计算机入侵罪将LuminosityLink RAT 的开发人员判处 30个月监禁。
  • 2019年9月–第42单元追溯了Adwind RAT在墨西哥的发展。此外,美国司法部宣布实施“重新连线”行动,在该行动中,包括167名尼日利亚人在内的全球281人被捕,原因是他们参与了BEC计划。
  • 2019年11月–在欧洲刑警组织的协调下,澳大利亚联邦警察(AFP)逮捕了开发商以及ImminentMonitor RAT 的最多产用户。
  • 2019年12月–加拿大广播电视和电信委员会(CRTC)Orcus RAT 的开发商处以115,000美元的罚款。

结论

随着2020年的发展,客户面临的最大威胁是部署用于支持复杂BEC计划的商品恶意软件。随着第一个尼日利亚商品工具开发人员的出现,SilverTerrier参与者中越来越多地采用RAT,以及在2019年观察到的攻击增加了172%,这种威胁没有丝毫减弱的迹象。因此,我们强烈鼓励各个行业的网络防御团队注意这些趋势,并确保员工接受必要的培训,以识别和消除该威胁组使用的最受欢迎的工具。 此外,尽管我们的分析师和工程师仍在积极跟踪和开发新颖的对策以防御这种威胁,但Palo Alto Networks客户可以从以下方面受益:
Cortex XDR protects endpoints from all malware, exploits and fileless attacks associated with SilverTerrier actors.
WildFire® cloud-based threat analysis service accurately identifies samples associated with these malware families.
Threat Prevention provides protection against the known client and server-side vulnerability exploits, malware, and command and control infrastructure used by these actors.
URL Filtering identifies all phishing and malware domains associated with these actors and proactively flags new infrastructure associated with these actors before it is weaponized.
Users of AutoFocus™ contextual threat intelligence service can view malware associated with these attacks using the following tags:SilverTerrierAdwindAgentTeslaAtmosAzoRultDarkCometHWormImminentMonitorISpySoftwareISRStealerKeybaseLokibotLuminosityLinkNanoCoreNetwireNJRatPonyPredatorPainQuasarRemcosRevengeZeus

妥协指标

可以在GitHub找到与SilverTerrier actor相关的恶意软件域的完整列表。 Palo Alto Networks在本报告中与我们的网络威胁联盟其他成员共享了我们的发现,包括文件样本和危害指标。CTA成员使用此情报可快速向其客户部署保护,并系统地破坏恶意网络参与者。有关网络威胁联盟的更多信息,请访问www.cyberthreatalliance.org
0 0 vote
Article Rating

未经允许不得转载:x-sec » SilverTerrier发布《2019年尼日利亚企业电子邮件攻击更新分析报告》

赞 (1) 打赏
Subscribe
Notify of
guest

This site uses Akismet to reduce spam. Learn how your comment data is processed.

0 Comments
Inline Feedbacks
View all comments

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏

0
Would love your thoughts, please comment.x
()
x