卡巴斯基实验室上周四发布报告指出,此前一波针对世界各地工业企业的恶意活动被初步确认为由尼日利亚网络犯罪分子所组织之网络钓鱼攻击。
2016年10月,卡巴斯基公司旗下工业控制系统网络紧急响应小组(简称ICS CERT)发出提醒,强调针对冶金、建筑、电力、工程以及其它行业工业企业的恶意软件感染行为正在大幅增加。该安全厂商已经观察到指向50多个国家内500家企业的攻击活动。
此轮攻击以鱼叉式钓鱼邮件作为初始载体,其中携带的文件利用微软已经于2015年4月发布补丁进行修复的Office漏洞(CVE-2015-1641)。该网络钓鱼邮件的编写质量颇高,旨在将内容伪造为来自受害者之供应商、客户或者服务交付方。
此恶意文件能够提供相当广泛的后续恶意软件类型,其中包括ZeuS、Pony、LokiBot、Luminosity RAT、NetWire RAT、HawkEye、ISR Stealer以及iSpy键盘记录器等。尽管对于各恶意软件家族的大量使用表明该电子邮件很可能属于系列恶意活动中的一部分,但仍有一些共通性元素可将各恶意行为联系起来。
研究人员们注意到,此轮攻击当中所使用的全部恶意软件样本皆使用VB与.NET打包器进行打包。除此之外,其皆与相同的命令与控制(简称C&C)服务器进行通信。这意味着所有攻击行为的背后皆隐藏着同一组或者多名保持协作关系的威胁执行者。
安全专家们同时指出,这些攻击活动当中所使用的大部分C&C域名皆由尼日利亚居民所申请注册。
在这一系列攻击活动中使用的恶意软件已经帮助黑客窃取到大量可实现商务邮件违规(简称BEC)攻击的数据——具体来讲,攻击者可以借此冒充业务合作伙伴或者客户,从而诱使目标企业内的工作人员转出大笔资金。
FBI于去年发布的报告指出,BEC欺诈活动所造成的损失已经超过31亿美元。尼日利亚网络犯罪分子多年来一直在执行此类攻击活动,但卡巴斯基公司的研究人员认为,这批攻击者最近才开始意识到针对大规模企业往往能够带来更加可观的利益回报,因此从去年开始将注意力逐步转移到工业企业身上。
本文转自d1net(转载)
