执行摘要
在2019年,企业电子邮件攻击(BEC)保持其排名,成为我们客户面临的最赚钱和最突出的威胁。根据联邦调查局(FBI)网络犯罪投诉中心(IC3)最近发布的年度报告,在2019年期间,BEC攻击造成了17.7亿美元的损失。这一数字与浪漫骗局,身份盗用,信用卡欺诈,网络钓鱼和勒索软件在同一时期合并在一起。 FBI还在2019年9月发布了新闻稿,报道了所有50个州和177个国家的案例,联邦调查局还宣布在前三年内,全球BEC损失超过260亿美元。放眼来看,与该威胁相关的已知损失和报告损失现在超过了WannaCry(估计为40亿美元)和NotPetya(估计为100亿美元)的估计全球总损失。 鉴于威胁的严重性及其对我们客户的影响,Palo Alto Networks的第42组研究人员继续将研究的核心领域集中在尼日利亚网络犯罪上,原因是来自该地区的BEC攻击具有相称性和绝对性。这些行动者被命名为SilverTerrier,现在已经累计产生了81,300个与210万次攻击相关的恶意软件样本。从2014年几名从事商品恶意软件试验的个人开始之初,我们最新的全球数据表明,威胁行为者的数量已大大增加,涵盖了我们今天跟踪的480多个不同行为者和群体。 在五年中(从2014年到2019年),SilverTerrier参与者已经从新手威胁对手演变为成熟的网络犯罪分子。 根据我们的最新调查结果,我们发现2019年针对专业和法律服务行业的BEC攻击数量增加了1163%。尽管我们对根本原因没有足够的了解,但这一增长表明SilverTerrier参与者之间的针对性做法发生了重大变化。 BEC攻击在2019年6月达到峰值,达到245,637 BEC,该年度结束时平均每月有92,739 BEC攻击,比2018年增加了172%。在这些BEC攻击中,有97.8%利用电子邮件协议到达目标网络。一旦组织渗透到组织中,SilverTerrier参与者就可以使用它们攻击组织的最常用工具是信息窃取者和远程管理工具(RAT)。 在此报告中,我们确定了与SilverTerrier攻击相关的趋势,为网络防御者提供了完善的对手信息,突出了与尼日利亚第一位商品工具开发人员的出现相关的影响,并概述了Palo Alto Networks在内部采取的行动以及从外部应对这种威胁。进攻
在2018年,我们注意到每月平均有34,039起针对我们客户群的攻击。在2019年期间,随着每月攻击率超过50K,然后是100K,最后是200K阈值,这些指标增加了一倍以上。在2019年6月达到245,637次攻击的峰值之后,每月平均有92,739次攻击,比2018年增加了172%。此外,尽管我们继续评估这种增长代表了全球趋势,但仍然需要注意我们的指标仅反映了针对我们客户群的攻击,因此,假定这些行为者发起的全球攻击的总数要大得多。
- 高科技行业受到的攻击次数最多,从2018年的16.4万增加到2019年的31.3万,几乎翻了一番。
- 专业和法律服务行业紧随其后,共受到24.8万次攻击,从2018年的第五大目标行业跃升至2019年的第二大目标行业。在2019年攻击数量惊人地增长1163%的推动下,这一增长表明SilverTerrier参与者之间的定位做法发生了变化。
- 制造业排名第三,2019年的攻击次数为14.5万,高于2018年的6.8万。
- 教育行业排名第四,2019年攻击次数为143K,高于2018年的53K。
- 批发和零售业排名第五,2019年发生了10.7万起攻击,比2018年增长了15 %。

- 在列表的顶部,SMTP流量占2019年观察到的攻击的864K(69%)。
- POP3和IMAP分别构成了324K(26%)和35K(2.8%)攻击。
- 还值得注意的是,IMAP流量中见证的攻击数量在2019年首次下降。我们估计,这一下降很可能是由于客户在现代化并采用SMTP作为行业标准时不再使用IMAP所致。
- 除了电子邮件之外,网络浏览是2019年第四大最常见的传递媒介,攻击量达到24K(1.9%)。
- 我们仅观察到通过FTP流量进行的3.6K(.3%)攻击。

恶意软件
在过去的几年中,我们强调了SilverTerrier参与者不断扩展的能力,以运用旨在推进其欺诈性计划的新技术,策略和功能。同时,网络安全行业历来将尼日利亚的恶意软件行为者描述为正在出现的威胁,而不是既定的威胁。随着对该威胁组的分析已有5年历史,我们认为现在至关重要的是要认识到,在许多方面,SilverTerrier参与者已经发展到可以在其交付技术,恶意软件中显示与已建立威胁组一致的成熟迹象的地步。包装和技术能力。 在2019年期间,我们的云交付的WildFire®恶意软件分析服务识别了27,310个SilverTerrier恶意软件样本。这些样本中的绝大多数是商品恶意软件工具,这些工具采用了多种旨在迷惑传统基于签名的防病毒程序的混淆技术。 将这些样本与VirusTotal进行比较后发现,发现时所有供应商的平均检测率为57.3%,证明了混淆技术针对传统防病毒平台的有效性。在2019年底进行的后续比较确定了平台上可用样本的更大比例,但是不幸的是,这种增加并未在各个供应商的检测率上产生任何明显的改善。违反直觉的是,平均比率实际上略有下降,降至57.1%,这表明即使有时间的好处和长时间暴露于网络安全社区,这些样本仍未被40%以上的防病毒解决方案检测到。 通过对商品恶意软件工具本身进行分析,我们发现尼日利亚的威胁行为者继续采用与工具受欢迎程度,有效性,检测率,可用性和其他市场因素一致的新功能,而不再使用旧功能。 在跟踪这些趋势时,以下各节提供了以下主要洞察力:- 通知网络管理员其网络面临的主要威胁;
- 指导网络安全行业优先考虑检测和补救功能;和
- 使执法人员能够针对最流行的工具专注于归因和法律程序。
信息窃取者
信息窃取者是使用核心信息窃取组件设计的工具,该组件通常会在受感染的系统上捕获屏幕截图,密码和其他敏感文件。一旦被捕获,恶意程序便将这些被盗物品打包并通过各种协议将其传输到由恶意参与者控制的互联网基础设施。 在过去的五年中,我们跟踪了SilverTerrier参与者对10个不同商品信息窃取者家庭的使用情况。随着时间的流逝,随着新工具在市场上的出现,陈旧,效果不佳的工具逐渐流行起来。 我们的数据显示,以下五个工具的使用率随后下降到可以忽略的水平:Atmos,Keybase,ISpySoftware,ISR Stealer和Zeus。 相反,SilverTerrier actor仍在使用五个工具:AgentTesla,AzoRult,Lokibot,Pony和PredatorPain。我们对这些恶意软件家族的分析发现,2019年尼日利亚威胁行为者平均每月产生516个独特样本(图4)。然而,尽管每月都有新样本稳定流入,但信息窃取者的使用似乎在2017年达到顶峰,然后进入持续下降的状态。尽管这种下降的根本原因很难查明,但我们评估出,缺乏新工具进入市场,网络安全领域的进步,执法行动的增多,控制基础设施的例行曝光以及这些行为者向RAT的转变所有促成因素。


远程管理工具
RAT是旨在提供对受感染系统的远程访问的程序。这些工具的扩展超出了信息窃取者固有的敏感文件的基本捕获范围,并且通常允许其用户直接与受害者计算机进行交互。为此,就代码和基础架构要求而言,这些工具通常比信息窃取者更为复杂。利用这些工具,尼日利亚威胁者可以代表受感染的用户修改系统,访问网络资源并执行常见功能。在过去的五年中,我们跟踪了SilverTerrier对13个不同RAT系列的使用情况。与其他类型的商品恶意软件类似,这些工具的流行程度上升和下降,并且在2019年期间,我们的数据显示LuminosityLink,NJRat,Quasar和WarZone RAT均已降至可忽略的水平。 该只大鼠仍然存在不同程度的积极利用是:Netwire,DarkComet,纳米芯,Remcos,ImminentMonitor,Adwind,Hworm,复仇和WSHRat。合并后,SilverTerrier演员在2019年平均每月制作609个样本,与2018年相比产量显着增长140%(图7)。这种增长代表了在我们追踪该威胁群体的五年中,RAT的生产和使用率首次超过了信息窃取者的抽样率。我们估计,这种转变在很大程度上表明技术能力的提高,并结合这些工具在实施欺诈性计划中的有效性。此外,随着越来越多的参与者采用这些工具,我们预计这一增长趋势将在整个2020年持续。


归因
2014年,第42单元发布了第一份研究报告,确定了一小部分尼日利亚恶意行为者利用恶意软件谋取经济利益。在过去的五年中,参与这项活动的参与者数量大大增加了。截至本出版物发布之时,我们已将攻击归因于480多个尼日利亚威胁演员和团体。这些参与者总计注册了23,300多个欺诈和恶意域。其中许多域直接支持大约81,300个恶意软件样本的命令和控制(C2)活动,这些样本与针对我们客户群的210万次攻击相关。 我们着眼于参与者本身,我们发现企业网络安全团队传统上倾向于以能力和漏洞来解释对各自组织的威胁,同时经常将有做事者作为可捉摸的,不稳定的,无名的对手。这种习惯自然是由于将APT级别和勒索软件活动归因于具有独特动机的特定个人而造成的大量困难而自然形成的。但是,在网络犯罪的世界中,归因通常更容易实现,因此,有关SilverTerrier攻击者的详细信息已很容易掌握。因此,在寻求使网络防御者,更重要的是他们的公司雇员,能够更好地理解和防御这种威胁时,我们认为深入研究典型SilverTerrier演员的个人资料很有价值。此外,我们提供了第一个尼日利亚商品工具开发人员的说明,以便更好地阐明这种威胁的基本人性和动机。恶意软件演员
演员X是实际的人,并且是我们跟踪的更活跃的SilverTerrier演员之一。他拥有Owerri联邦技术大学(FUTO)的大学学位。毕业后,他在尼日利亚国家青年服务队完成了一年的国民服务。现在他40多岁,已婚,是三个孩子的骄傲父母。他们在一起生活在尼日利亚的Owerri,在那里他似乎活跃于社区,并以提供技术服务的合法商人的身份出现。此外,与许多威胁行为者一样,他在Facebook和Skype上维护帐户,他的联系人包括朋友,家人,其他恶意软件行为者,当地执法机构以及社区中的知名人物。 在在线活动方面,Actor X已经注册了480多个域,目的是支持其他威胁行为者以及他自己的欺诈活动。为了注册这些域,他已经与Microsoft,Yahoo和Google等常见电子邮件提供商建立了90多个电子邮件帐户。虽然这些帐户都遵循使用别名或昵称后跟数字的模式,但他的平台多元化策略可确保如果其中一个提供商采取行动关闭这些帐户,则一定程度的冗余。 最后,由于涉及到他的非法活动,这个单一的威胁行为者已经产生了4000多个恶意软件样本。随着他的技能从新手提高到高级,这些样本与他经过一段时间试验的15个不同的恶意软件家族相关。结合起来,我们在超过363K的针对客户的自动攻击中观察到了这些样本。这样一来,我们评估出他的攻击手段是不分青红皂白的,因为他已经瞄准了31个州的2600多家客户,包括93个地方,州和联邦政府实体。 结合所有这些特征,可以使对目标客户的威胁有更深入的了解。具体来说,攻击者是指受过大学技术教育的人(不是漏洞或软件),已经投入时间来开发其竞选活动所需的在线别名网络,并且遵循不加选择地部署恶意软件的策略,并有足够的动机来产生养家所需的收入。工具开发人员
在2018年1月,一个不知名的开发人员开始在流行的黑客网站HackForums [.net]上发布一种名为“ FUD Crypt”的新工具。开发人员的价格为每月65美元,还在YouTube上发布了一个教程,展示了如何使用他的新密码器使RAT,键盘记录程序和其他恶意软件文件无法被防病毒解决方案检测到。11个月后,即2018年12月,另一个名为“ Unknown Crypter”的工具以类似的方式以类似的方式投放市场。该工具的价格为每周20美元,还附带了YouTube教程。这两个教程之间的共同点是,开发人员花时间为每个视频中使用的免版税音乐的来源提供了信誉。


授权执法
在过去的几年中,Palo Alto Networks发起了一些举措来应对这种持续的威胁。我们一直在积极支持国内和国际执法机构,以遏制SilverTerrier,并代表客户打击更广泛的BEC活动和恶意工具使用。 重点包括:- 2018年6月–美国司法部(DOJ)宣布了 WireWire行动,其中74名个人(包括29名尼日利亚人)因参与BEC计划而被捕。
- 2018年10月–美国司法部以计算机入侵罪将LuminosityLink RAT 的开发人员判处 30个月监禁。
- 2019年9月–第42单元追溯了Adwind RAT在墨西哥的发展。此外,美国司法部宣布实施“重新连线”行动,在该行动中,包括167名尼日利亚人在内的全球281人被捕,原因是他们参与了BEC计划。
- 2019年11月–在欧洲刑警组织的协调下,澳大利亚联邦警察(AFP)逮捕了开发商以及ImminentMonitor RAT 的最多产用户。
- 2019年12月–加拿大广播电视和电信委员会(CRTC)向Orcus RAT 的开发商处以115,000美元的罚款。
结论
随着2020年的发展,客户面临的最大威胁是部署用于支持复杂BEC计划的商品恶意软件。随着第一个尼日利亚商品工具开发人员的出现,SilverTerrier参与者中越来越多地采用RAT,以及在2019年观察到的攻击增加了172%,这种威胁没有丝毫减弱的迹象。因此,我们强烈鼓励各个行业的网络防御团队注意这些趋势,并确保员工接受必要的培训,以识别和消除该威胁组使用的最受欢迎的工具。 此外,尽管我们的分析师和工程师仍在积极跟踪和开发新颖的对策以防御这种威胁,但Palo Alto Networks客户可以从以下方面受益:![]() |
Cortex XDR protects endpoints from all malware, exploits and fileless attacks associated with SilverTerrier actors. |
![]() |
WildFire® cloud-based threat analysis service accurately identifies samples associated with these malware families. |
![]() |
Threat Prevention provides protection against the known client and server-side vulnerability exploits, malware, and command and control infrastructure used by these actors. |
![]() |
URL Filtering identifies all phishing and malware domains associated with these actors and proactively flags new infrastructure associated with these actors before it is weaponized. |
![]() |
Users of AutoFocus™ contextual threat intelligence service can view malware associated with these attacks using the following tags:SilverTerrierAdwindAgentTeslaAtmosAzoRultDarkCometHWormImminentMonitorISpySoftwareISRStealerKeybaseLokibotLuminosityLinkNanoCoreNetwireNJRatPonyPredatorPainQuasarRemcosRevengeZeus |
妥协指标
可以在GitHub上找到与SilverTerrier actor相关的恶意软件域的完整列表。 Palo Alto Networks在本报告中与我们的网络威胁联盟其他成员共享了我们的发现,包括文件样本和危害指标。CTA成员使用此情报可快速向其客户部署保护,并系统地破坏恶意网络参与者。有关网络威胁联盟的更多信息,请访问www.cyberthreatalliance.org。未经允许不得转载:x-sec » SilverTerrier发布《2019年尼日利亚企业电子邮件攻击更新分析报告》