印度、美国与英国财务部门员工成为黑产攻击目标
出于经济利益动机的攻击者们开始向印度、英国以及美国各中小型企业发送社工邮件,传播Backdoor.Breut以及Troja.Nancrat获取财务敏感信息。
攻击者们自2015年就已经开始将远程访问木马(RAT)散播到印度、英国以及美国的中小型企业。这些攻击者特意将矛头直接指向企业中负责账户与转账工作的员工,以便更轻松地从受感染企业当中窃取款项。
攻击者们无需太多资源,因为他们使用的是社交工程而非安全漏洞手段,而且选择了两项公开可用的RAT——Backdoor.Breut与Trojan.Nancrat。然而,尽管存在诸多限制,攻击者仍然能够借此对受害者的计算机进行远程控制,并利用恶意软件实现诸多操作。
受害者
这些状况早在2015年年初就已经开始发生。而且在过去一年的大部分时间当中,这些行为都主要针对印度境内的目标,但偶尔也会指向美国以及世界其它地区。然而,过去几个月以来针对印度与美国的恶意活动开始减少,而指向英国境内中小型企业的攻击则日益增加。
图一:2015年年内感染活动肆虐程度最高的三大主要目标区域
2015年年初,攻击者们主要利用Backdoor.Breut入侵各印度企业。而在8月份之后,他们开始通过Trojan.Nancrat攻击英国目标,但同时继续利用Backdoor.Breut侵扰其它地区。
攻击者们并非专门针对特定行业或者企业;他们的作法是尝试一切能够接触到的潜在受害对象。如果他们无法侵入某家企业,则会立刻将目标转向下一家。
策略
这群攻击者通过窃取到或者伪造的账户发送邮件以传播RAT。根据赛门铁克公司发布文章显示,我们可以清楚地看到员工在接收到可疑邮件后,有18%的机率落入圈套——这也就解释了为什么在RAT传播的速度与效率方面,此种毫无技术性可言的作法为什么能够取得如此理想的效果。大多数消息都是在格林威治标准时间(GMT)的下午时段或者美国东部标准时间(EST)上午期间发出的。这意味着攻击者很可能来自欧洲或者美国。这些信息的主体涉及以诱导方式骗取目标企业内财务员工的敏感信息,具体实例包括:
回复:发票
邮政汇票
汇款通知
付款提醒
要求报价
转账副本
电汇付款
支付汇款
查询
报价单
报价表
询价请求
这些邮件当中包含有文件附件,通常为.zip格式。如果目标打开了这些文件,那么其计算机就会被Backdoor.Breut或者Trojan.Nancrat所感染。这两个木马都会让攻击者得以全面控制受害者的计算机设备。
通过这些感染,攻击者能够访问到网络摄像头、麦克风、键盘记录器并窃取文件以及密码等等。根据观察,一部分攻击者会直接利用目标员工的权限将资金转移到他们名下的户头当中。
一旦计算机遭受入侵,攻击者会投入一定时间研究如何利用其窃取财产。在某些情况下,攻击者能够根据计算机中保存的下载手册了解某些财务软件的使用方式。在得到了自己需要的东西之后,他们会关闭计算机并转而向其它目标发送邮件。由此可以看出,参与这些行为的攻击者数量并不太多。
命令与控制
2015年上半年,攻击者们利用以下域名作为命令与控制(简称C&C)服务器以支持Backdoor.Breut:
cleintten101.no-ip.biz
cleintten.duckdns.org
clientten1.ddns.net
从去年8月开始,攻击者们又开始配置一套Backdoor.Breut变体以将以下域名作为C&C服务器:
akaros79.no-ip.biz
mathew79.no-ip.biz
clientten1.ddns.net
作为Backdoor.Breut谈何,同时将原始clientten1.ddns.net应用至Trojan.Nancrat当中。以此为基础,他们开始利用Trojan.Nancrat攻击英国目标,同时利用Backdoor.Breut继续侵扰其它地区的潜在受害者。在这个阶段,攻击者们似乎开始进行 责任划分,即不同成员负责攻击不同国家的目标。
少量资源,巨大影响
尽管众多先进攻击群体已经吸引到了新闻媒体的高度关注,但必须记住的是,目标企业所受到的危害往往并非由高技术攻击者所造成。
即使是在这种情况下,攻击者能够支配的资源也非常有限,他们只能利用Backdoor.Breut与Trojan.Nacrat对计算机进行整体接入。通过关注于利用RAT侵扰特定员工,这些攻击者能够潜在窃取到大量金钱以及受影响企业的敏感信息。
我 们已经发现了此类侧重于财务人员的恶意活动策略。举例来说,去年12月,四个恶意攻击集团就瞄准Columbian财务部门,利用恶意邮件附件传播 W32.Extrat RAT。考虑到攻击者对此类战术活动的日益重视,世界各地的企业都应当了解如何保护自身资产免受此类行为的影响。
应对措施
在这种情况下,攻击者能够利用基础性社交工程战术实施恶意活动,而用户则应当遵循以下建议以避免自身受到侵扰:
不要打开可疑邮件消息中的附件或者点击其中链接
避免在回复邮件时提供任何个人信息
永远不要在网页弹窗当中输入任何个人信息
保证安全软件始终处于最新版本
给系统和第三方软件打补丁,并使用安全工具拦截挂马邮件和网址。