IBM X-Force安全报告:针对加拿大商业银行客户的网络钓鱼攻击活动

背景介绍

IBM X-Force的研究人员一直在跟踪一个针对加拿大商业银行的有针对性的网络钓鱼攻击活动,背后的操纵者可能来自乌克兰。这些攻击活动旨在诱骗那些有账户权限的人泄露他们公司的网上银行凭证、一次性密码和双因素身份验证码。

这种有针对性的网络钓鱼攻击的目标是接管账户并将资金转移到犯罪分子控制的骡子(Mule)账户上,之后再将所获资金转移到其他用于提现的账号上。

专门定制的诱饵电子邮件

袭击的第一步是定制用于钓鱼攻击的电子邮件。

与其他有针对性的攻击类似,攻击者定制了一封鱼叉式网络钓鱼邮件,精准的发送给具体的利益相关人,内容猛一看起来似乎是合法的:具有正确的银行标识和准确的信息。在这封电子邮件中,旨在获得受害者信任的一个细节是攻击者使用了PDF格式的附件,这使得威胁行为者能够隐藏URL链接、关键字和品牌名称,从而躲避掉一些安全检测机制,因为如果可疑的URL链接、关键字和品牌名称出现在邮件正文中,很可能会被检测机制识别为异常;与此同时这么做也能更好的获取到用户的信任,因为用户不会看到任何可疑的链接。对于一些安全意识较强的用户而言,在看到可疑链接时会深思而不是轻易的就点击。

为了顺利发送这些电子邮件,攻击者注册了几个域名,并创建了包含银行名称的电子邮件地址,伪装成银行的客服、安全或技术部门。

这次有针对性的网络钓鱼活动背后的组织花了很大功夫来定制PDF诱饵文件,这些诱饵文件似乎来自银行的真实员工(很可能是受害者)。攻击者可能已经从一个更广泛的攻击活动或者从其他来源获取到了目标商业账号的基本信息,但是想要实际接管帐户,他们还需要实时的令牌代码。

分析恶意的PDF诱饵文件的真正伎俩

打开电子邮件时,收件人会遭遇攻击者提前布置好的策略:请求受害者同步他们的设备。这个伎俩并不是特别巧妙,事实上,许多网络钓鱼和恶意软件注入攻击中都会使用这一策略。在虚假的同步过程中,通常会生成一个一次性动态口令,通常通过硬件令牌发送给商业银行客户。

攻击者还向受害者营造一种紧张的氛围,这一点也是钓鱼攻击惯用的伎俩:警告受害者必须及时打开PDF以防止付款被取消和交易延迟。

图1:向商业银行客户发送鱼叉式钓鱼攻击时使用的PDF诱饵文件的内容

将受害者重定向到钓鱼网站

在虚假的PDF诱饵文件中,收件人可以看到正确的银行LOGO,内容看起来就像是来自银行的雇员。在某些情况下,这些文档中还包含了真实有效的银行员工的姓名和头衔。还有一些文档中把不同的人名和照片混在一起。

攻击者精心设计PDF的内容继续向受害者施压,要求他们尽快完成伪造的同步过程,并建议用户这个过程中不要更换设备。

PDF诱饵文件中包含了一个嵌入的URL链接,能够将受害者重定向到攻击者预先设置的钓鱼网页。这个钓鱼网页看起来也像是一个合法的银行。

观察发现,这场钓鱼攻击活动中,PDF诱饵文档的内容变化不大,在某些情况下,用于攻击某一特定类型的受害者,有迹象表明,攻击者事先已经获知了收件人(潜在受害者)的基本信息,一些案例指向了商务银行客户,而有些案例则指向了管理员要求提供访问权限等服务。

如果受害者点击了PDF中嵌入的链接,首先会被指向到一个初始URL,这个初始URL的作用是为了把受害者转向到下一个URL,而第二个URL才是真正的钓鱼页面,它会向害者展示虚假同步过程的进度。

在这里,受害者被引诱提交令牌代码。这些代码会被直接发送给攻击者,允许攻击者远程发起欺诈性的资金转移。

整个攻击过程的示意流程图如下所示:

图2:有针对性的钓鱼攻击和随后的欺诈交易活动的流程示意图

分析攻击者的基础设施

跟踪这些有针对性的攻击活动所使用的域名,发现了一系列的针对加拿大银行用户的有针对性的攻击活动。域名的IP地址来自乌克兰,其中大部分都使用了.xyz顶级域名(TLD)。

从以往的垃圾邮件趋势分析中观察到,.xyz域名的注册非常便宜,有的只需花费几美分就能成功购买到,因此,恶意攻击者通常会注册多个域名。

跟踪到一个IP地址: 176.119.5.123,使用了乌克兰地区(自治系统AS58271)的互联网服务供应商(ISP)。

图3:恶意服务器 IP地址的地理位置

最初受害者被导向到一个域名为www6com.xyz的页面,在这个页面又被跳转到一个与潜在受害者相匹配的虚假银行页面,攻击过程中涉及到几个页面,用于引导受害者同步他们的令牌代码,包括“登录”、“同步”、“验证”(可能需要再次获取令牌代码)、“确认”和“结束”页面。

发现更多的攻击活动

继续观察攻击者使用的基础设施,发现同一伙攻击者向加拿大的消费者发起过更多的攻击活动。

这些针对加拿大消费者的攻击活动采用了不同的策略,攻击者诱骗受害者相信他们理应得到退款只能直接存入他们的银行账户,之后攻击者将受害者引导到一个诱饵页面,从这里受害者需要选择他们所使用的银行卡对应的机构,然后会被进一步重定向相应的攻击页面。

图4:钓鱼页面之一,用于将受害者重定向到相应的银行页面(虚假的)

接下来,受害者将看到一连串的钓鱼页面,请求他们输入自己的账号登录信息。询问用户账号设置的安全问题(通常用于重置密码环节)、个人可识别信息(PII),最后会告知受害则“退款”申请无法完成或已过期。

图5:虚假页面提示受害者退款操作已经过期

这些攻击活动会大量的向加拿大用户发送钓鱼邮件,但对收件人使用哪个银行的银行卡却没有明确的限制。旧版本的钓鱼页面只是声明了“退款”而没有其他附件信息,而新版本的钓鱼页面中,攻击者假冒一个电信供应商作为退款的运营商。

最初用于攻击活动的域名是单独创建的,一个月后,攻击者已经利用一个域名生成算法(DGA)创建子域名,这样做可能是为了扩大攻击活动的范围,同时满足自动化的回收被发现的资源并为每个目标银行分配特定的资源。网络钓鱼基础设施的建立和维护反映了攻击者掌握了一定的网络犯罪技巧。

网络犯罪提高了对企业用户的关注

最近几年,网络罪犯加剧了对企业(如商业性银行机构)用户的关注。2014年,出现了诸如Dyre、Dridex 和 Neverquest之类的针对金融企业的木马程序。很多案例中,攻击者要么位于东欧,要么与东欧地区存在间接联系,如将恶意软件或网络钓鱼活动的基础设施托管到东欧每个国家。

这一趋势体现的越来越明显,诸如TrickBot、QakBot 和 IcedID之类的恶意软件的攻击重点主要是商业银行和高价值的客户而不是普通的消费者账户。因此,对于本文所描述的这种源于东欧地区的针对欧美地区的企业进行掠夺的攻击活动,是在意料之中的。

总的来说,讲俄语的地下犯罪分子和欺诈者在技术方面一直是处于世界领先水平的,在这种背景下滋养了很多以经济利益为攻击目标的犯罪分子,他们拥有创建先进的攻击工具并发起APT攻击的能力,最关键的是他们能够成功获利。

此外,由于在东欧地区已经发展成了广泛的网络犯罪经济,犯罪分子之间经常会共享各类信息,并提供各类犯罪服务。

如何阻止有针对性的钓鱼攻击

在企业环境下,想要有效的阻止有针对性的网络钓鱼攻击,需要一个持续的安全意识培训过程。事实证明,检测鱼叉式网络钓鱼最有效的方法之一就是对员工进行基于角色的安全培训,特别是那些可以访问公司敏感、重要资源(如银行帐户)的员工。

调查这些有针对性的攻击攻击活动,可以发现在许多情况下受害者都中小型企业。最近IBM公司的一项调研项目表明, 58%的大公司表示会向员工提供安全培训的员工,然而只有30%的小公司会做的,这可能就是中小企业被入侵的风险更大的原因所在,这些企业的安全预算是有限的。

总而言之,增加安全培训方面的投入,并实施完善的应急反应机制,能够有效的帮助企业抵御这类有针对性的攻击活动。除此之外,及时的了解网络犯罪分子的攻击策略,也能够帮助企业及时调整自己的安全措施。

MottoIN的企业安全服务

对于金融机构而言,安全是重中之重,MottoIN可以为您的组织提供以下安全服务:

  • 及时跟踪国内外最新的APT攻击活动,熟知网络攻击的最新特征,包括攻击者使用的工具、技术和程序,为客户输出有针对性的威胁预警报告;
  • 实时监控地下论坛和暗网中的各类威胁情报,为客户提供专项的数据安全分析报告;
  • 大数据积累,智能预警分析,整合全球范围内活跃的APT组织的相关指标,考虑地缘政治风险和区域内部的各项威胁指标,为客户提供全面的风险评估报告;
  • 提供全面的安全咨询服务,根据客户的需求,提供业内最佳解决方案。

原创文章,作者:鹰小编,如若转载,请注明出处:http://www.mottoin.com/107241.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code