卡巴斯基實驗室上周四發(fā)布報告指出，此前一波針對世界各地工業(yè)企業(yè)的惡意活動被初步確認為由尼日利亞網(wǎng)絡(luò)犯罪分子所組織之網(wǎng)絡(luò)釣魚攻擊。

2016年10月，卡巴斯基公司旗下工業(yè)控制系統(tǒng)網(wǎng)絡(luò)緊急響應(yīng)小組（簡稱ICS CERT）發(fā)出提醒，強調(diào)針對冶金、建筑、電力、工程以及其它行業(yè)工業(yè)企業(yè)的惡意軟件感染行為正在大幅增加。該安全廠商已經(jīng)觀察到指向50多個國家內(nèi)500家企業(yè)的攻擊活動。

此輪攻擊以魚叉式釣魚郵件作為初始載體，其中攜帶的文件利用微軟已經(jīng)于2015年4月發(fā)布補丁進行修復(fù)的Office漏洞（CVE-2015-1641）。該網(wǎng)絡(luò)釣魚郵件的編寫質(zhì)量頗高，旨在將內(nèi)容偽造為來自受害者之供應(yīng)商、客戶或者服務(wù)交付方。

此惡意文件能夠提供相當廣泛的后續(xù)惡意軟件類型，其中包括ZeuS、Pony、LokiBot、Luminosity RAT、NetWire RAT、HawkEye、ISR Stealer以及iSpy鍵盤記錄器等。盡管對于各惡意軟件家族的大量使用表明該電子郵件很可能屬于系列惡意活動中的一部分，但仍有一些共通性元素可將各惡意行為聯(lián)系起來。

研究人員們注意到，此輪攻擊當中所使用的全部惡意軟件樣本皆使用VB與.NET打包器進行打包。除此之外，其皆與相同的命令與控制（簡稱C&C）服務(wù)器進行通信。這意味著所有攻擊行為的背后皆隱藏著同一組或者多名保持協(xié)作關(guān)系的威脅執(zhí)行者。

安全專家們同時指出，這些攻擊活動當中所使用的大部分C&C域名皆由尼日利亞居民所申請注冊。

在這一系列攻擊活動中使用的惡意軟件已經(jīng)幫助黑客竊取到大量可實現(xiàn)商務(wù)郵件違規(guī)（簡稱BEC）攻擊的數(shù)據(jù)——具體來講，攻擊者可以借此冒充業(yè)務(wù)合作伙伴或者客戶，從而誘使目標企業(yè)內(nèi)的工作人員轉(zhuǎn)出大筆資金。

FBI于去年發(fā)布的報告指出，BEC欺詐活動所造成的損失已經(jīng)超過31億美元。尼日利亞網(wǎng)絡(luò)犯罪分子多年來一直在執(zhí)行此類攻擊活動，但卡巴斯基公司的研究人員認為，這批攻擊者最近才開始意識到針對大規(guī)模企業(yè)往往能夠帶來更加可觀的利益回報，因此從去年開始將注意力逐步轉(zhuǎn)移到工業(yè)企業(yè)身上。