在雷鋒網(wǎng)之前所報道的黑客攻擊中，航運業(yè)甚少出現(xiàn)，但近兩年，它也成為了黑客眼中的一塊大肥肉！

雷鋒網(wǎng)發(fā)現(xiàn)，自去年以來，全球已發(fā)生多起因黑客攻擊造成的大規(guī)模商業(yè)電子郵件泄密（BEC）事件，導(dǎo)致海上航運業(yè)損失了數(shù)百萬美元。但現(xiàn)在，研究人員已經(jīng)追蹤到其背后的的黑客組織。

根據(jù)本周三（4月18日）RSA會議上發(fā)布的報告顯示，黑客正在利用了海上航運行業(yè)網(wǎng)絡(luò)安全漏洞、以及較為落后的計算機設(shè)備入侵航運系統(tǒng)。

來自Dell SecureWorks反網(wǎng)絡(luò)威脅部門的研究人員發(fā)現(xiàn)，該商業(yè)電子郵件泄密黑客組織名叫Gold Galleon。研究人員推測，Gold Galleon專門針對航運業(yè)，并且在2017年6月至2018年1月之間竊取了至少390萬美元。

Gold Galleon的攻擊目標(biāo)包括各種類型的海運組織，比如提供船舶管理服務(wù)的公司，港口服務(wù)公司和船長借支服務(wù)公司。Dell SecureWorks安全研究員James Bettke是該研究小組的負(fù)責(zé)人，他評價說：

“因為航運業(yè)務(wù)涉及全球范圍、且跨布多個時區(qū)，涉業(yè)人員的溝通基本都是靠郵件——因此對于BEC詐騙小組來說，這就像一個“唾手可得”的誘人果實?！?/p>

Bettke在接受采訪時表示：

“Gold Galleon 會以航運行業(yè)為攻擊目標(biāo)是有多方面原因的……因為從安全性缺失與有趣的文化層面角度來看，航運業(yè)地區(qū)是一個完美的攻擊目標(biāo)。一方面，許多非常小的航運公司并不擔(dān)心安全問題——他們沒有雙重身份驗證，并且運行的是Windows XP系統(tǒng)；另一方面，許多小航運公司正在開展國際貿(mào)易并主要依靠電子郵件進(jìn)行通信，所以很難確定是否被人假冒?！?/p>

SecureWorks發(fā)現(xiàn)，Gold Galleon黑客組織應(yīng)該至少有20名網(wǎng)絡(luò)犯罪分子構(gòu)成，他們可能位于尼日利亞。這些罪犯共同合作，實施BEC黑客攻擊的各個部分——從最初的協(xié)議攻擊到監(jiān)控賬戶等。

根據(jù)SecureWorks的調(diào)查結(jié)果，Gold Galleon通過收集公開可用的聯(lián)系信息（例如公司的網(wǎng)站）以及利用營銷工具 BoxxerMail 或電子郵件提取器來從公司網(wǎng)站上獲取電子郵件地址，進(jìn)而識別目標(biāo)攻擊對象。

得以進(jìn)入目標(biāo)郵箱后，網(wǎng)絡(luò)犯罪分子會通過一款名為 EmailPicky 的黑客工具，進(jìn)一步獲得收件人的聯(lián)系人列表。

Gold Galleon使用帶有惡意附件的魚叉式網(wǎng)路釣魚技術(shù)，達(dá)到犯罪目的。這些附件通常會包含一個帶鍵盤記錄功能和密碼竊取功能的遠(yuǎn)程訪問工具。

SecureWorks在他們的安全報告中提到：

“GOLD GALLEON 部署的工具包括 Predator Pain，PonyStealer，Agent Tesla，以及Hawkeye 鍵盤記錄器，所有這些 GOLD GALLEON 使用的惡意軟件都可以從線上黑客市場獲得?！?/p>

一旦該黑客團(tuán)體入侵了目標(biāo)電子郵箱，該犯罪團(tuán)伙的成員就能監(jiān)控這個郵箱中正在進(jìn)行的商務(wù)活動。

當(dāng)付款細(xì)節(jié)通過發(fā)票的形式轉(zhuǎn)發(fā)給買方時，黑客就會攔截賣方的電子郵件并將發(fā)票上的目標(biāo)銀行賬戶更改為他們自己的收款賬戶。

根據(jù)SecureWorks透露:“

為了在特定交易中模仿買家或賣家使騙術(shù)不易被識破，GOLD GALLEON和其他BEC小組會專門購買與買方或賣方公司名稱非常相似的域名，他們將此稱為“克隆”。

Bettke補充說道：

“該黑客組織使用一系列具有鍵盤記錄功能和密碼竊取功能的商品遠(yuǎn)程訪問工具來竊取電子郵件帳戶憑證。Gold Galleon的高級成員還會定期在他們自己的系統(tǒng)上測試惡意軟件，并通過在線病毒掃描程序判斷檢測率?！?/p>

經(jīng)過篩選該黑客組織的用戶名和密碼，SecureWorks懷疑Gold Galleon是尼日利亞的一個名為Buccaneer Confraternity或是National Association of Seadog的兄弟會組織。

Bucaneers Confraternity最初成立于尼日利亞，在該國支持人權(quán)運動。有報告表明，該群體中的一小部分可能正在從事犯罪活動。SecureWorks公司發(fā)現(xiàn)，為了躲避黑客攻擊，一些有被攻擊風(fēng)險的公司開始實施雙重身份驗證，并檢查企業(yè)電子郵件控制面板是否存在可疑的重定向規(guī)則。

Bettke說道：

“他們使用的惡意軟件非常簡單，我建議海事行業(yè)的公司采用雙重身份驗證和更強的賬戶管控措施，此外如果有人出于一些隱晦的要求需要更改賬戶，公司員工應(yīng)該先通話確認(rèn)而不是僅僅簡單地以電子郵件進(jìn)行溝通?！?/p>

雷鋒網(wǎng) VIA threatpost

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。