根據大多數的每日頭條新聞,你可能會認為,目前大多數的網絡犯罪問題僅涉及幾個“熱點”國家,如中國、俄羅斯和伊朗等。然而,這并不是完全事實,仍然有來自于“熱點”國家之外的大量網絡攻擊活動,如尼日利亞。
當你想到尼日利亞和網絡犯罪,你的第一反應可能是熟悉的尼日利亞“419”騙局。近年來,尼日利亞網絡犯罪異常猖獗,近期出現的來自尼日利亞的潛在網絡攻擊,可能會造成物理破壞或財產損失,甚至可能影響到人們的生活。因此,我們決定深入調查下去。***文末有彩蛋***
1 尼日利亞網絡詐騙趨向高端復雜
Cylance的調查以最近針對印度工業界為目標的網絡攻擊開始,這些網絡攻擊來自于尼日利亞,主要以印度制造業、航運、物流和運輸公司為目標,網絡攻擊的目的是竊取大量財務數據,同時,通過利用木馬Pony和Hawkeye,入侵受害者個人和公司郵箱甚至是企業內網和VPN網絡。
這些網絡攻擊與通常的數據竊取案例不同,攻擊者還做出些異常行為:在受害者郵箱中查找公司或企業個人信息作為下一步滲透目標。攻擊者在入侵企業郵箱之后所獲得的數據是驚人的,這些敏感信息包括:雇員記錄、銀行交易明細、車輛或海洋船舶跟蹤信息、標準、知識產權。
從2015年10月到2016年6月,這類網絡攻擊已經發起過多次“攻勢”。隨著Pony Loader 2.2木馬的植入,攻擊者就會開始初始階段攻擊。攻擊者非常狡猾,通過注冊與目標公司有生意往來公司的相似域名,向目標公司雇員發送魚叉式釣魚郵件。下圖就是郵件樣本:
圖1:魚叉式郵件1偽造的貨物查詢單(包含惡意附件)
圖2:魚叉式郵件2偽造的虛假賬戶確認信息 (包含惡意附件)
以上的魚叉式釣魚郵件中用.BZ和.ACE格式文件,壓縮成可執行exe文件(解壓之后是.exe或.scr文件),當然,其中就內置了Pony或Hawkeye木馬程序。當攻擊者獲取目標郵箱控制權后,就會向郵箱內涉及的其它賬戶發送進一步的魚叉式釣魚郵件。
圖3:魚叉式郵件3假發票確認信息 (包含惡意附件)
圖4:魚叉式郵件4 樟宜空運中心查詢單(注意拼寫錯誤) (惡意附件中包含Pony 和Hawkeye)
2 木馬控制端和配置信息
通過調查,Cylance還原出了攻擊者的木馬控制端
圖5:Pony 2.2控制端1
我們的調查以自2016年4月開始至今的這類網絡攻擊為主,在4月份,攻擊者通過英國的Unlimited Web Hosting主機托管平臺建立了攻擊域名,多個注冊域名被用來設置Pony木馬和其它托管惡意軟件:
cosmoships-gr(dot)com
equinoxdsitribution(dot)com
etaship-sg(dot)com
fortressict-nl(dot)com
friendshlp-chartering(dot)com
iwenconsultinggroup(dot)com
nevig8group(dot)com
nqvoil-sg(dot)com
octagonainternational(dot)com
pcchand(dot)com
pruship-tw(dot)com
seahorsegroup-in(dot)com
toships(dot)net
tosihps(dot)com
toslhips(dot)com
toslhps(dot)com
vietexcurisons(dot)com
alexbensonship(dot)com
木馬控制端使用最久的域名是nqvoil-sg.com和pcchand.com(于2016年6月14下線),木馬的C&C服務器經常使用friendship-chartering.com,toships.net, tosihps.com。另外,還有一些被注冊用來發送魚叉式郵件的域名:
圖6:Pony 2.2控制端2
圖7:Pony 2.2控制端3
圖8:Pony 2.2控制端4
圖9:Pony 2.2控制端5
在收集了充足的憑據信息之后,攻擊者就可以獲得大量的敏感信息,甚至可以利用獲得的信息造成財產和物理破壞。攻擊者不僅可以訪問關鍵財務數據,如賬號、交易ID,銀行路由號碼,SWIFT代碼,IBAN碼,等等,而且,攻擊者可直接訪問車輛、運輸和物流數據,這些數據覆蓋所有商業和政府船舶車隊的路線和位置信息。以下就是攻擊者收集的金融和運輸數據:
圖10:攻擊者收集的銀行憑據敏感信息-1
圖11:攻擊者收集的其它敏感數據信息-2
圖12:攻擊者收集的其它敏感數據信息-3
圖13:攻擊者收集的車輛貨物跟蹤信息-1
圖14:攻擊者收集的車輛貨物跟蹤信息-2
圖15:攻擊者收集的車輛貨物跟蹤信息-3
圖16:攻擊者收集的車輛貨物跟蹤信息-4
3 在攻擊中使用的惡意軟件
攻擊者少數幾次使用了Hawkeye或Zeus,大多攻擊目標是利用Pony Loader 2.2來實現控制的。Pony植入受害者電腦后開始收集大量憑據和數據信息,Pony 2.2能夠收集RDP, HTTP/HTTP, FTP, SFTP, SMTP,POP3, IMAP甚至是比特幣信息。
比特幣盜竊模塊使用了一個新型的Pony Loader,Pony 2.0首次加入了對加密電子幣的竊取功能和針對某些產品的密碼竊取模塊。
密碼相關模塊列表:
RDP捕獲模塊:
從下面這段代碼可以看出受害者電腦上的數據是如何被上傳的:
Pony Loader在攻擊者本地MySQL 數據庫中儲存竊取信息,這個功能在本地主機的database.php中可以看出:
通過攻擊者控制端中的 config.php可以看出MySQL 的配置明文信息:
執行后,Pony Loader識別受害者電腦上運行的殺毒軟件,并試圖逃避檢測。以下是攻擊者免殺針對的殺毒軟件:
* BitDefender
* 卡巴斯基
* AVG
和這類攻擊有關的Pony二進制文件大部分是通過 PonyBuilder生成的,但有一些是利用名為DarkEyE Protector的現成加密工具加密過:
在其中的一例中,我們發現DarkEyE Protector和郵箱[email protected]有關,這個郵箱也和Pony 的C&C注冊域名有關:
我們回頭看那些發送的魚叉式郵件,可以看到該郵箱被用作發件地址:
4 屬性
從之前趨勢科技的分析報告結合本次研究,可以看出,有很多線索都指向了尼日利亞,另外,我們也發現在 Pony的管理界面中有多個來自尼日利亞的登錄信息:
在Pony管理界面中,我們還看到攻擊者經常使用的帶有尼日利亞色彩的用戶名和密碼,其中一個特定的攻擊者經常使用字段“waxxy”,而尼日利亞有一個著名的DJ就叫 DJ Waxxy。
EX: waxxy3:waxxysomuch
EX: waxxy3:vgwbnpcnra
EX: waxxy3:louiss33
另外,我們也還看到與尼日利亞女演員ChiomaChukwuka 相關的字段“chukwuka123” 、“chukwuka”、 “chukwuka”。
而且“chukwuka” 字段經常被用作Pony管理界面的密碼,一些被入侵的郵箱賬戶其密碼也被更改為“chukwuka”。
另外,一個特定的用戶名相關的電子郵件帳戶[email protected]頻繁地被攻擊者使用,該郵件賬戶被用作發送惡意郵件、社工信息和管理登錄等。
通常情況下,“onyeb4real”字符串配合“louis33”使用。如果我們查看“waxxy”,發現它經常和“louiss”配對使用,或者與“onyeb4real” “waxxy”一起使用。
所有的OSINT信息指向了一個經常使用Waxxy字段名為“Louis”的尼日利亞人,其社交媒體賬號也顯示其郵箱地址為:[email protected].
對此人信息交叉關聯可得某些數據片段—-他曾在一個分類廣告網站上賣過一部二手黑莓手機!
最終,找到了他的照片,這個人就是他:
(¥#%&^%$$##@#$%%^^@!#@$^&()*&,這,這,這,這是不是那個誰!!!!!!?baozoumanhua a xiang ?)
京公網安備 11010502049343號