企業(yè)電子郵件攻擊 （BEC） 仍然是企業(yè)面臨的最常見(jiàn)和攻擊最大的攻擊類型，在FBI 互聯(lián)網(wǎng)犯罪投訴中心 （IC3） 2020年度報(bào)告中，BEC連續(xù)第五年位居榜首。五年多來(lái)，全球由SilverTerrier攻擊造成的損失從 2016 年的 3.6 億美元激增至 2020 年的驚人的 18 億美元。從長(zhǎng)遠(yuǎn)來(lái)看，與 BEC 計(jì)劃相關(guān)的年度損失現(xiàn)在超過(guò)了 24 個(gè)國(guó)家的國(guó)內(nèi)生產(chǎn)總值 （GDP）。據(jù)估計(jì)，2018-2020年這三年期間，全球損失總計(jì)超過(guò)49.3億美元。更令人擔(dān)憂的是，這種攻擊沒(méi)有放緩的跡象，因?yàn)槿ツ険p失增加了 29%，平均每位受害者為96372美元。

　　全球疫情期間，SilverTerrier利用新冠為誘餌，大肆發(fā)起攻擊。最近，尼日利亞犯罪團(tuán)伙Silver Terrier針對(duì)醫(yī)療保健行業(yè)和政府組織發(fā)動(dòng)新一輪BEC攻擊。

　　BEC攻擊主要有四種類型：

　　?偽造郵件、電話，要求轉(zhuǎn)賬到另一個(gè)賬戶；

　　?盜用高管郵件，向財(cái)務(wù)部門發(fā)送資金申請(qǐng)郵件；

　　?盜用員工郵件，向所有聯(lián)系人發(fā)送付款要求；

　　?冒充律師來(lái)處理機(jī)密或時(shí)間緊急的事件，請(qǐng)求轉(zhuǎn)賬；

　　在過(guò)去的五年中，Palo Alto Networks Unit 42 一直在跟蹤監(jiān)控SilverTerrier攻擊的演變，并將其幕后攻擊者的位置鎖定在了尼日利亞，他們將惡意軟件命名為“SilverTerrier”進(jìn)行分析跟蹤。雖然 BEC 是一個(gè)全球攻擊，但研究人員對(duì)尼日利亞攻擊者的關(guān)注并不是沒(méi)有道理，因?yàn)樵搰?guó)一直是網(wǎng)絡(luò)犯罪的熱土。我們會(huì)在本文中將Palo Alto Networks Unit 42近些年跟蹤分析的全部情況進(jìn)行一個(gè)全面介紹和分析，其中有超過(guò)226萬(wàn)釣魚攻擊的170700個(gè)惡意軟件樣本，還有大約540個(gè)不同的BEC攻擊組織。

　　自 2016 年以來(lái)，多個(gè)參與 BEC 攻擊的黑客被捕，其中兩名黑客分別被控盜取2400萬(wàn)美元和6000萬(wàn)美元。

　　BEC范圍的界定

　　鑒于BEC攻擊名稱，許多人經(jīng)常錯(cuò)誤地認(rèn)為只要是電子郵件系統(tǒng)遭到破壞以及由電子郵件引起的所有計(jì)算機(jī)攻擊都屬于BEC。然而，這個(gè)定義太過(guò)寬泛，幾乎適用于包含從供應(yīng)鏈攻擊到勒索軟件攻擊的所有攻擊事件。

　　相反，執(zhí)法部門和網(wǎng)絡(luò)安全行業(yè)的定義要窄得多。具體而言，BEC被定義為這樣一種攻擊活動(dòng)，該活動(dòng)針對(duì)合法企業(yè)電子郵件帳戶，通過(guò)社會(huì)工程或?qū)τ?jì)算機(jī)的攻擊，開(kāi)啟復(fù)雜的詐騙過(guò)程。一旦企業(yè)遭到攻擊，網(wǎng)絡(luò)犯罪分子就會(huì)利用他們的訪問(wèn)權(quán)限啟動(dòng)或重定向企業(yè)資金的轉(zhuǎn)移路徑以謀取個(gè)人利益。本文所講的BEC就是基于這個(gè)定義。

　　“商業(yè)電子郵件攻擊（BEC）”一詞最早出現(xiàn)在 2013 年，當(dāng)時(shí)美國(guó)聯(lián)邦調(diào)查局（FBI）開(kāi)始追蹤一種新興的金融網(wǎng)絡(luò)攻擊。當(dāng)時(shí)，BEC 只是被簡(jiǎn)單地視為一種新的網(wǎng)絡(luò)犯罪技術(shù)，只不過(guò)是加入了其他簡(jiǎn)單的攻擊計(jì)劃，例如臭名昭著的“尼日利亞王子”騙局。然而，隨著時(shí)間的推移，研究人員逐漸認(rèn)識(shí)到 BEC是一種新興的網(wǎng)絡(luò)犯罪生態(tài)系統(tǒng)，包含著大量復(fù)雜的套路和技術(shù)。2009-2013 年非洲國(guó)家的互聯(lián)網(wǎng)產(chǎn)業(yè)經(jīng)歷了一個(gè)快速增長(zhǎng)速度，年增長(zhǎng)率為 27%，到 2013 年底，估計(jì)有 16% 的非洲人口成為了網(wǎng)民。

　　同時(shí)，研究人員還追蹤到了商品信息竊取程序、遠(yuǎn)程訪問(wèn)木馬 （RAT） 和滲透測(cè)試工具在這段時(shí)間激增。隨著關(guān)于如何使用這些類型工具的教學(xué)資源的出現(xiàn)，一些不懷好意的人就將傳統(tǒng)形式的紙質(zhì)郵件欺詐（尼日利亞王子/高級(jí)費(fèi)用詐騙）搬移到了互聯(lián)網(wǎng)。從犯罪的角度來(lái)看，通過(guò)網(wǎng)絡(luò)郵件系統(tǒng)發(fā)送數(shù)以千計(jì)的信件并等待回復(fù)實(shí)在是非常高效。到 2013 年底，這種犯罪就已經(jīng)大規(guī)模涌現(xiàn)。

　　在過(guò)去的六年中，Unit 42 一直在關(guān)注這一變化。2014 年，研究人員發(fā)布了第一份報(bào)告，里面介紹了尼日利亞人為了經(jīng)濟(jì)利益部署惡意軟件的第一個(gè)已知案例。2016 年，研究人員對(duì)該攻擊進(jìn)行了重點(diǎn)研究，并很快發(fā)現(xiàn)它已經(jīng)發(fā)展到超過(guò) 100 個(gè)不同的團(tuán)體。之后，研究人員將此攻擊命名為“SilverTerrier”。

　　2017 年，攻擊繼續(xù)擴(kuò)大到 300 多個(gè)團(tuán)體，研究人員開(kāi)始在年度報(bào)告“尼日利亞商業(yè)電子郵件攻擊的興起”中跟蹤特定的惡意軟件工具趨勢(shì)。研究人員的 2018 年報(bào)告“SilverTerrier：2018 年尼日利亞商業(yè)電子郵件攻擊更新”記錄的攻擊者數(shù)量已經(jīng)超過(guò) 400，因?yàn)獒槍?duì)研究人員客戶的未遂攻擊數(shù)量攀升至平均每月 28227 次。此外，隨著越來(lái)越多的攻擊者開(kāi)始采用提供更強(qiáng)大功能的 RAT，研究人員開(kāi)始觀察到信息竊取程序開(kāi)始朝越來(lái)越復(fù)雜的方向轉(zhuǎn)變。

　　到 2019 年底，隨著信息竊取器的使用率穩(wěn)步下降，而 RAT 的采用率同比增長(zhǎng)了 140%，令人印象深刻的是，這種工具的轉(zhuǎn)變已發(fā)展為既定趨勢(shì)。研究人員在 2019 年的年度報(bào)告還強(qiáng)調(diào)了第一批尼日利亞工具開(kāi)發(fā)商的出現(xiàn)，這些開(kāi)發(fā)商在本地開(kāi)發(fā)了自己的 RAT 和加密工具以出售給同行。

　　進(jìn)入 2020 年，隨著全球 COVID-19 大流行的影響，各類攻擊組織暫停了與發(fā)票和包裹傳播相關(guān)的傳統(tǒng)網(wǎng)絡(luò)釣魚活動(dòng)，轉(zhuǎn)而開(kāi)發(fā)與大流行相關(guān)的主題。這樣做，BEC 攻擊者再次展示了他們適應(yīng)不斷變化的經(jīng)營(yíng)環(huán)境的能力。

　　2014年開(kāi)始時(shí)，這只是一個(gè)小范圍內(nèi)的活動(dòng)，在過(guò)去7年里，其范圍和規(guī)模顯著增長(zhǎng)。到目前為止，研究人員已經(jīng)確定了 540 個(gè)與尼日利亞攻擊者和團(tuán)體相關(guān)聯(lián)的不同活動(dòng)集群。為了更好地了解這些攻擊者及其行為，2016 年研究人員努力確定攻擊者之間的共性。當(dāng)時(shí)，研究人員認(rèn)為這些攻擊者只是年輕的、無(wú)組織的臨時(shí)性攻擊，各攻擊團(tuán)體間的特性如下：

　　?舒適的生活環(huán)境——攻擊者主要來(lái)自尼日利亞西南/沿海地區(qū)的Owerri, Lagos, Enugu, Warri和Port Harcourt。大多數(shù)人與朋友和家人待在一起，他們?cè)谀抢锷畹孟喈?dāng)舒適，因?yàn)橥鈳藕湍崛绽麃喣卫g的有利匯率。他們的社交媒體賬戶經(jīng)常用外幣、豪宅和路虎（Range rover）等豪華車的照片來(lái)炫耀他們的犯罪成就。此外，一些更成功的攻擊者出國(guó)旅行，如英國(guó)和馬來(lái)西亞，在那里他們迅速重建他們的犯罪活動(dòng)。

　　?受過(guò)教育——許多攻擊者都上過(guò)中等技術(shù)學(xué)校，并繼續(xù)從聯(lián)邦或地區(qū)性技術(shù)大學(xué)課程中獲得本科學(xué)位。

　　?成年人——攻擊者的年齡從十幾歲到 40 多歲的成年人不等，因此代表了參與犯罪活動(dòng)的各個(gè)年齡段人群。追蹤發(fā)現(xiàn)，年長(zhǎng)的攻擊者已經(jīng)從其他傳統(tǒng)形式的高級(jí)費(fèi)用詐騙演變?yōu)?BEC 活動(dòng)，而獲得大學(xué)新學(xué)位的年輕攻擊者則通過(guò)直接參與惡意軟件活動(dòng)開(kāi)始了他們的犯罪生涯。

　　?公開(kāi)攻擊——雖然一小部分攻擊者不遺余力地隱藏他們的身份，但當(dāng)時(shí)尼日利亞的文化為這些類型的非法活動(dòng)提供了一個(gè)寬松的環(huán)境。因此，攻擊者經(jīng)常很少努力保持匿名，并且在注冊(cè)惡意域時(shí)經(jīng)常將假名或別名與當(dāng)?shù)亟值赖刂贰㈦娫捥?hào)碼和個(gè)人電子郵件地址結(jié)合起來(lái)。這樣研究人員通常很容易將這些用戶與他們?cè)?Facebook、Google+、LinkedIn、Twitter、Skype、Yahoo Messenger 等平臺(tái)上的社交媒體和網(wǎng)絡(luò)帳戶連接起來(lái)。

　　?攻擊變得更有組織性——在 BEC 發(fā)展的早期，研究人員看到一小群攻擊者開(kāi)始交流、合作和共享工具和技術(shù)。最常見(jiàn)的形式是，一個(gè)有經(jīng)驗(yàn)的攻擊者為他們的朋友或年輕的門徒提供惡意軟件基礎(chǔ)設(shè)施。另外，我們看到一些攻擊者贊助其他攻擊者訪問(wèn)黑客論壇，但偶爾也會(huì)有大群攻擊者一起工作，但這種情況被認(rèn)為很少見(jiàn)。

　　總的來(lái)說(shuō)，BEC的攻擊者們?nèi)匀贿^(guò)著舒適的生活。最早實(shí)施BEC的大多數(shù)攻擊者繼續(xù)接受良好的教育，完成了中學(xué)和大學(xué)課程。隨著這些攻擊者年齡的增長(zhǎng)，研究人員看到犯罪活動(dòng)顯著減少。雖然很難確定確切的原因，但研究人員認(rèn)為下降的部分原因可能是攻擊者的成熟，包括在他們組建家庭了從而降低收入風(fēng)險(xiǎn)，或者僅僅是他們通過(guò)犯罪活動(dòng)賺取了足夠的收入，他們希望轉(zhuǎn)向到合法的商業(yè)活動(dòng)。相反，還值得注意的是，研究人員很少看到年幼的兒童或青少年參與此類惡意活動(dòng)。進(jìn)入該領(lǐng)域的新攻擊者往往在十幾歲和 20 歲出頭。

　　觀察尼日利亞這五年的變化，以及全球?qū)?BEC 攻擊威脅認(rèn)識(shí)的提高，對(duì)推動(dòng)減少這些攻擊者的肆無(wú)忌憚行為產(chǎn)生了積極影響。尼日利亞聯(lián)邦警察 （NFP） 和經(jīng)濟(jì)和金融犯罪委員會(huì) （EFCC）在打擊這一威脅方面取得了顯著的進(jìn)展和成果，并定期在Twitter賬戶上發(fā)布他們逮捕的行動(dòng)者的照片。國(guó)際刑警組織（INTERPOL）、聯(lián)邦調(diào)查局（FBI）和澳大利亞聯(lián)邦警察（AFP）等組織協(xié)助他們開(kāi)展國(guó)際合作，以推動(dòng)全球起訴行動(dòng)。與此同時(shí)，在技術(shù)領(lǐng)域，隨著Yahoo Messenger和和 Google+ 等協(xié)作平臺(tái)的退出，出現(xiàn)了喜憂參半的發(fā)展，而跨社交媒體平臺(tái)的隱私改進(jìn)影響了結(jié)果分析。至于攻擊者本身，隨著尼日利亞文化的發(fā)展，他們?cè)絹?lái)越意識(shí)到與其犯罪活動(dòng)相關(guān)的風(fēng)險(xiǎn)。雖然社交媒體賬戶可能仍然炫耀自己的財(cái)富，但如今公開(kāi)討論非法活動(dòng)、外幣圖片或其他可能引起執(zhí)法部門不必要注意的內(nèi)容的帖子已少見(jiàn)。

　　然而，隨著時(shí)間的推移，BEC 攻擊者在攻擊時(shí)變得更有組織性。雖然很容易找到作為一個(gè)群體工作的攻擊者，但使用一個(gè)電話號(hào)碼、電子郵件地址或別名來(lái)注冊(cè)惡意基礎(chǔ)設(shè)施以支持多個(gè)攻擊者的做法使得網(wǎng)絡(luò)安全和執(zhí)法更加耗時(shí)。同樣，研究人員還發(fā)現(xiàn) SilverTerrier 攻擊者，無(wú)論地理位置如何，在社交媒體平臺(tái)上通常僅通過(guò)幾層分離就能發(fā)現(xiàn)他們之間的相互聯(lián)系。下圖顯示了超過(guò)120個(gè)攻擊者之間的社交媒體關(guān)系。

　　SilverTerrier 攻擊者的社交媒體關(guān)系

　　除了上面確定的一般攻擊趨勢(shì)之外，研究人員認(rèn)為還需要檢查一些特定的隔離，才能更全面地描述現(xiàn)代 BEC 攻擊：

　　?示例 A——Onuegwu Ifeanyi，也被稱為“SSG Toolz”，于 2020 年 11 月被 NFP 逮捕。他在伊莫州立大學(xué)學(xué)習(xí)計(jì)算機(jī)科學(xué)后，于 2014 年底成立了 Ifemonums-Solution LTD，這是一家合法的企業(yè)。從 2014 年到被捕，他注冊(cè)了 150 多個(gè)惡意域名供個(gè)人使用并支持其他攻擊者。樣本包括 us-military-service[.]com、starwooclhotels[.]com 和 gulf-capital[.]net。其中許多域還作為2200多個(gè)惡意軟件樣本的命令和控制基礎(chǔ)設(shè)施，包括Pony、LokiBot、PredatorPain、ISRStealer、ISpySoftware、Remcos和NanoCore。2016年，他是Facebook群組“wirewire com”最活躍的成員之一，該群組現(xiàn)已不復(fù)存在，他還贊助了另外30名攻擊者，以進(jìn)行欺詐。

　　?示例 B——該攻擊者也在伊莫州立大學(xué)學(xué)習(xí)。2015年至2018年間，他使用與印度尼西亞雅加達(dá)有關(guān)的郵寄地址注冊(cè)了180個(gè)域名。其中幾個(gè)域作為至少55個(gè)惡意軟件樣本的命令和控制服務(wù)器。

　　?示例 C——該攻擊者在拉各斯州立大學(xué)學(xué)習(xí)，20 多歲，從2016年至今，他注冊(cè)了55個(gè)惡意域名。這些域與 480 多個(gè)惡意軟件樣本相關(guān)聯(lián)。此外，根據(jù)域的名稱，這個(gè)攻擊者似乎很可能提供支持其他攻擊者的基礎(chǔ)設(shè)施。樣本包括：247logss[.]info、fergologss[.]us、kinglogss[.]info 和 nelsloggs[.]com。