在雷鋒網之前所報道的黑客攻擊中，航運業(yè)甚少出現(xiàn)，但近兩年，它也成為了黑客眼中的一塊大肥肉！

雷鋒網發(fā)現(xiàn)，自去年以來，全球已發(fā)生多起因黑客攻擊造成的大規(guī)模商業(yè)電子郵件泄密（BEC）事件，導致海上航運業(yè)損失了數(shù)百萬美元。但現(xiàn)在，研究人員已經追蹤到其背后的的黑客組織。

根據本周三（4月18日）RSA會議上發(fā)布的報告顯示，黑客正在利用了海上航運行業(yè)網絡安全漏洞、以及較為落后的計算機設備入侵航運系統(tǒng)。

來自Dell SecureWorks反網絡威脅部門的研究人員發(fā)現(xiàn)，該商業(yè)電子郵件泄密黑客組織名叫Gold Galleon。研究人員推測，Gold Galleon專門針對航運業(yè)，并且在2017年6月至2018年1月之間竊取了至少390萬美元。

Gold Galleon的攻擊目標包括各種類型的海運組織，比如提供船舶管理服務的公司，港口服務公司和船長借支服務公司。Dell SecureWorks安全研究員James Bettke是該研究小組的負責人，他評價說：

“因為航運業(yè)務涉及全球范圍、且跨布多個時區(qū)，涉業(yè)人員的溝通基本都是靠郵件——因此對于BEC詐騙小組來說，這就像一個“唾手可得”的誘人果實?！?/p>

Bettke在接受采訪時表示：

“Gold Galleon 會以航運行業(yè)為攻擊目標是有多方面原因的……因為從安全性缺失與有趣的文化層面角度來看，航運業(yè)地區(qū)是一個完美的攻擊目標。一方面，許多非常小的航運公司并不擔心安全問題——他們沒有雙重身份驗證，并且運行的是Windows XP系統(tǒng)；另一方面，許多小航運公司正在開展國際貿易并主要依靠電子郵件進行通信，所以很難確定是否被人假冒?！?/p>

SecureWorks發(fā)現(xiàn)，Gold Galleon黑客組織應該至少有20名網絡犯罪分子構成，他們可能位于尼日利亞。這些罪犯共同合作，實施BEC黑客攻擊的各個部分——從最初的協(xié)議攻擊到監(jiān)控賬戶等。

根據SecureWorks的調查結果，Gold Galleon通過收集公開可用的聯(lián)系信息（例如公司的網站）以及利用營銷工具 BoxxerMail 或電子郵件提取器來從公司網站上獲取電子郵件地址，進而識別目標攻擊對象。

得以進入目標郵箱后，網絡犯罪分子會通過一款名為 EmailPicky 的黑客工具，進一步獲得收件人的聯(lián)系人列表。

Gold Galleon使用帶有惡意附件的魚叉式網路釣魚技術，達到犯罪目的。這些附件通常會包含一個帶鍵盤記錄功能和密碼竊取功能的遠程訪問工具。

SecureWorks在他們的安全報告中提到：

“GOLD GALLEON 部署的工具包括 Predator Pain，PonyStealer，Agent Tesla，以及Hawkeye 鍵盤記錄器，所有這些 GOLD GALLEON 使用的惡意軟件都可以從線上黑客市場獲得?！?/p>

一旦該黑客團體入侵了目標電子郵箱，該犯罪團伙的成員就能監(jiān)控這個郵箱中正在進行的商務活動。

當付款細節(jié)通過發(fā)票的形式轉發(fā)給買方時，黑客就會攔截賣方的電子郵件并將發(fā)票上的目標銀行賬戶更改為他們自己的收款賬戶。

根據SecureWorks透露:“

為了在特定交易中模仿買家或賣家使騙術不易被識破，GOLD GALLEON和其他BEC小組會專門購買與買方或賣方公司名稱非常相似的域名，他們將此稱為“克隆”。

Bettke補充說道：

“該黑客組織使用一系列具有鍵盤記錄功能和密碼竊取功能的商品遠程訪問工具來竊取電子郵件帳戶憑證。Gold Galleon的高級成員還會定期在他們自己的系統(tǒng)上測試惡意軟件，并通過在線病毒掃描程序判斷檢測率。”

經過篩選該黑客組織的用戶名和密碼，SecureWorks懷疑Gold Galleon是尼日利亞的一個名為Buccaneer Confraternity或是National Association of Seadog的兄弟會組織。

Bucaneers Confraternity最初成立于尼日利亞，在該國支持人權運動。有報告表明，該群體中的一小部分可能正在從事犯罪活動。SecureWorks公司發(fā)現(xiàn)，為了躲避黑客攻擊，一些有被攻擊風險的公司開始實施雙重身份驗證，并檢查企業(yè)電子郵件控制面板是否存在可疑的重定向規(guī)則。

Bettke說道：

“他們使用的惡意軟件非常簡單，我建議海事行業(yè)的公司采用雙重身份驗證和更強的賬戶管控措施，此外如果有人出于一些隱晦的要求需要更改賬戶，公司員工應該先通話確認而不是僅僅簡單地以電子郵件進行溝通?！?/p>

雷鋒網 VIA threatpost

雷峰網原創(chuàng)文章，未經授權禁止轉載。詳情見轉載須知。