SecureWorks警告企业电子邮件泄露活动-IDC帮帮忙

SecureWorks最近发现了一种不同类型的尼日利亚骗局,可能每年花费企业数百万美元。

根据SecureWorks的一份新报告,尼日利亚境内的一个威胁行动者团体一直瞄准海运业,其业务电子邮件折衷活动涉及欺诈性发票和财务文件。SecureWorks称为Gold Galleon的这个小组利用恶意软件和社交工程技术的组合来访问公司电子邮件帐户,并使用它们试图通过虚假付款请求窃取近400万美元。

SecureWorks计数器威胁部门(CTU)的安全研究员兼Gold Galleon报告的合着者James Bettke说,起初,研究团队无法弄清楚黑客组织为什么瞄准海运业务。但是,一旦他们看得更近,他说,这场运动开始变得更有意义了。

“做任何形式的国际业务都有助于企业电子邮件泄密攻击,”Bettke说。“有不同的时区,语言障碍和网站域名 - 我们应该通过网络钓鱼攻击注意到的所有事情 - 这些对于航运业来说绝对是常见的。”

此外,SecureWorks在跟踪Gold Galleon时观察到的一些航运组织受到的保护很差。这使得威胁行为者可以使用廉价的现成恶意软件成功感染员工,例如远程访问特洛伊木马程序和键盘记录程序。一旦威胁参与者窃取凭据并获得对电子邮件帐户的访问权限,他们就可以设置重定向规则,拦截发票和付款请求,以及更改这些付款的银行和目标帐户。

SecureWorks表示,Gold Galleon在2017年试图窃取至少390万美元。该供应商表示,它能够避免大约80万美元的潜在欺诈性付款和转让,尽管Bettke表示很难判断剩余的310万美元是否被Gold Galleon成功窃取,因为SecureWorks无法访问受害者的财务记录。

CTU的研究人员正在跟踪另一个尼日利亚黑客组织,这些组织在首次发现Gold Galleon时专注于企业电子邮件泄密。Bettke说,研究小组首先接触了该小组,因为它观察到Gold Galleon黑客用廉价的恶意软件感染他们自己的系统以进行测试。

Bettke表示Gold Galleon使用的技术并不复杂,但该集团建立的商业电子邮件折衷活动非常有效。“他们与其他商业电子邮件妥协组织并没有什么不同,”他说。“他们在他们的工具上投入很少,他们对这项技术没有很好的理解,但他们知道收益很大。”

根据该报告,Gold Galleon和其他商业电子邮件泄密组之间的主要区别在于Gold Galleon专门针对特定垂直行业的特定攻击。

“他们非常擅长社会工程,”Bettke说。“除了电子邮件泄露之外,他们不会做任何其他事情,并且一旦成功放置他们的恶意软件,他们就不会尝试访问公司网络。他们只是研究受害者的收件箱并研究业务,然后使用电子邮件帐户。”

在某些情况下,Gold Galleon黑客无法访问公司电子邮件帐户,但他们仍然成功地将克隆域用于看起来像合法公司电子邮件域的电子邮件地址以及带有公司信头的虚假文档。SecureWorks报告详细介绍了韩国航运公司如何成为这些确切策略的受害者。

防范企业电子邮件泄露活动
Bettke说Gold Galleon能够在雷达下飞行一段时间,因为威胁演员没有使用假发票和付款订单向数百个电子邮件帐户发送垃圾邮件。相反,该小组保留了受损电子邮件的数量较少,并使垃圾邮件过滤器和电子邮件安全产品更难以接收其广告系列。

SecureWorks的报告建议采取几个步骤来遏制目标企业电子邮件泄密活动,如Gold Galleon's,从为企业和个人电子邮件帐户实施双因素身份验证开始。该报告还鼓励安全团队和网络管理员检查公司电子邮件系统是否存在任何可疑的转发或重定向规则。

根据该报告,企业还应该在电子邮件安全产品中创建规则,以标记看起来像公司电子邮件地址的可疑扩展。SecureWorks还建议使用一个名为Pdfxpose的免费工具,该工具由CTU研究人员开发,用于搜索指示PDF文档中文本叠加和可疑编辑的小不透明矩形。

GlobalSign的数字签名服务产品经理Nadim Farah表示,企业电子邮件泄露等欺诈和数据操纵威胁可能会引起人们对使用SSL证书进行文档签名的兴趣。该证书供应商最近加入了Adobe的Cloud Signature合作伙伴计划,该计划每年处理Adobe 60亿个文档签名中的大部分内容。

“当公司提出电子文档工作流程时,”他说,“他们必须有一种方法来验证文件是否真实,以防止这类攻击。”

Bettke表示,文档签名可能有所帮助,但许多中小型公司“几乎无法实现双因素身份验证”。虽然SecureWorks已经阻止了一些Gold Galleon的欺诈行为,但他表示该集团仍处于活跃状态。

“我担心会有更复杂的团体做这类事情,”Bettke说。“像Galleon这样的团队无法编码,他们也不是很熟练。当欧洲的APT [高级持续性威胁]开始这样做时会发生什么?”