在雷鋒網(wǎng)之前所報(bào)道的黑客攻擊中，航運(yùn)業(yè)甚少出現(xiàn)，但近兩年，它也成為了黑客眼中的一塊大肥肉！

雷鋒網(wǎng)發(fā)現(xiàn)，自去年以來，全球已發(fā)生多起因黑客攻擊造成的大規(guī)模商業(yè)電子郵件泄密（BEC）事件，導(dǎo)致海上航運(yùn)業(yè)損失了數(shù)百萬美元。但現(xiàn)在，研究人員已經(jīng)追蹤到其背后的的黑客組織。

根據(jù)本周三（4月18日）RSA會(huì)議上發(fā)布的報(bào)告顯示，黑客正在利用了海上航運(yùn)行業(yè)網(wǎng)絡(luò)安全漏洞、以及較為落后的計(jì)算機(jī)設(shè)備入侵航運(yùn)系統(tǒng)。

來自Dell SecureWorks反網(wǎng)絡(luò)威脅部門的研究人員發(fā)現(xiàn)，該商業(yè)電子郵件泄密黑客組織名叫Gold Galleon。研究人員推測(cè)，Gold Galleon專門針對(duì)航運(yùn)業(yè)，并且在2017年6月至2018年1月之間竊取了至少390萬美元。

Gold Galleon的攻擊目標(biāo)包括各種類型的海運(yùn)組織，比如提供船舶管理服務(wù)的公司，港口服務(wù)公司和船長借支服務(wù)公司。Dell SecureWorks安全研究員James Bettke是該研究小組的負(fù)責(zé)人，他評(píng)價(jià)說：

“因?yàn)楹竭\(yùn)業(yè)務(wù)涉及全球范圍、且跨布多個(gè)時(shí)區(qū)，涉業(yè)人員的溝通基本都是靠郵件——因此對(duì)于BEC詐騙小組來說，這就像一個(gè)“唾手可得”的誘人果實(shí)?！?/p>

Bettke在接受采訪時(shí)表示：

“Gold Galleon 會(huì)以航運(yùn)行業(yè)為攻擊目標(biāo)是有多方面原因的……因?yàn)閺陌踩匀笔c有趣的文化層面角度來看，航運(yùn)業(yè)地區(qū)是一個(gè)完美的攻擊目標(biāo)。一方面，許多非常小的航運(yùn)公司并不擔(dān)心安全問題——他們沒有雙重身份驗(yàn)證，并且運(yùn)行的是Windows XP系統(tǒng)；另一方面，許多小航運(yùn)公司正在開展國際貿(mào)易并主要依靠電子郵件進(jìn)行通信，所以很難確定是否被人假冒?！?/p>

SecureWorks發(fā)現(xiàn)，Gold Galleon黑客組織應(yīng)該至少有20名網(wǎng)絡(luò)犯罪分子構(gòu)成，他們可能位于尼日利亞。這些罪犯共同合作，實(shí)施BEC黑客攻擊的各個(gè)部分——從最初的協(xié)議攻擊到監(jiān)控賬戶等。

根據(jù)SecureWorks的調(diào)查結(jié)果，Gold Galleon通過收集公開可用的聯(lián)系信息（例如公司的網(wǎng)站）以及利用營銷工具 BoxxerMail 或電子郵件提取器來從公司網(wǎng)站上獲取電子郵件地址，進(jìn)而識(shí)別目標(biāo)攻擊對(duì)象。

得以進(jìn)入目標(biāo)郵箱后，網(wǎng)絡(luò)犯罪分子會(huì)通過一款名為 EmailPicky 的黑客工具，進(jìn)一步獲得收件人的聯(lián)系人列表。

Gold Galleon使用帶有惡意附件的魚叉式網(wǎng)路釣魚技術(shù)，達(dá)到犯罪目的。這些附件通常會(huì)包含一個(gè)帶鍵盤記錄功能和密碼竊取功能的遠(yuǎn)程訪問工具。

SecureWorks在他們的安全報(bào)告中提到：

“GOLD GALLEON 部署的工具包括 Predator Pain，PonyStealer，Agent Tesla，以及Hawkeye 鍵盤記錄器，所有這些 GOLD GALLEON 使用的惡意軟件都可以從線上黑客市場(chǎng)獲得?！?/p>

一旦該黑客團(tuán)體入侵了目標(biāo)電子郵箱，該犯罪團(tuán)伙的成員就能監(jiān)控這個(gè)郵箱中正在進(jìn)行的商務(wù)活動(dòng)。

當(dāng)付款細(xì)節(jié)通過發(fā)票的形式轉(zhuǎn)發(fā)給買方時(shí)，黑客就會(huì)攔截賣方的電子郵件并將發(fā)票上的目標(biāo)銀行賬戶更改為他們自己的收款賬戶。

根據(jù)SecureWorks透露:“

為了在特定交易中模仿買家或賣家使騙術(shù)不易被識(shí)破，GOLD GALLEON和其他BEC小組會(huì)專門購買與買方或賣方公司名稱非常相似的域名，他們將此稱為“克隆”。

Bettke補(bǔ)充說道：

“該黑客組織使用一系列具有鍵盤記錄功能和密碼竊取功能的商品遠(yuǎn)程訪問工具來竊取電子郵件帳戶憑證。Gold Galleon的高級(jí)成員還會(huì)定期在他們自己的系統(tǒng)上測(cè)試惡意軟件，并通過在線病毒掃描程序判斷檢測(cè)率?！?/p>

經(jīng)過篩選該黑客組織的用戶名和密碼，SecureWorks懷疑Gold Galleon是尼日利亞的一個(gè)名為Buccaneer Confraternity或是National Association of Seadog的兄弟會(huì)組織。

Bucaneers Confraternity最初成立于尼日利亞，在該國支持人權(quán)運(yùn)動(dòng)。有報(bào)告表明，該群體中的一小部分可能正在從事犯罪活動(dòng)。SecureWorks公司發(fā)現(xiàn)，為了躲避黑客攻擊，一些有被攻擊風(fēng)險(xiǎn)的公司開始實(shí)施雙重身份驗(yàn)證，并檢查企業(yè)電子郵件控制面板是否存在可疑的重定向規(guī)則。

Bettke說道：

“他們使用的惡意軟件非常簡單，我建議海事行業(yè)的公司采用雙重身份驗(yàn)證和更強(qiáng)的賬戶管控措施，此外如果有人出于一些隱晦的要求需要更改賬戶，公司員工應(yīng)該先通話確認(rèn)而不是僅僅簡單地以電子郵件進(jìn)行溝通。”

雷鋒網(wǎng) VIA threatpost

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。