BEC随着远程办公地增加呈直线上升

从 2014 年到现在，研究人员已经确定了 170700 多个直接由尼日利亚 BEC 攻击者发起的恶意软件样本，该数据集是整个网络安全行业中最全面的 BEC 攻击指标 (IoC) 集合。这些样本在针对超过 226 万次网络钓鱼攻击中被观察到。

随着时间的推移，研究人员已采取措施从该数据集中分析攻击趋势，以增强网络防御者的能力。研究人员观察到，2014 年至 2017 年期间，Pony、LokiBot 和 AgentTesla 等信息窃取程序的使用率稳步增长。随后，随着工具可用性的下降，行业检测率和攻击者的技术技能均有所提高，近年来有所下降。因此，从 2018 年到 2020 年，研究人员见证了 RAT 的快速采用，其中最受欢迎的是 NanoCore、Adwind、Remcos、Netwire 和尼日利亚开发的 HWorm 变体，称为 WSH RAT。

然而，虽然研究人员看到 SilverTerrier 攻击者继续稳步增长和采用 RAT，但对 2020 年到 2021 年上半年的分析发现，考虑全球生态系统对其活动的影响也很重要。在新冠疫情爆发前，每年强调新工具是有意义的，因为网络犯罪论坛上面向攻击者销售的工具经常发生变化。尽管在整个大流行期间这种情况在一定程度上持续存在，但现实情况是，在过去一年半的时间里，研究人员没有观察到 BEC 攻击者对新工具有任何重大功能突破。相反，研究人员的分析显示，这些攻击者通常选择坚持使用具有展示能力和性能的已知工具。在此过程中，他们将注意力集中在调整和调整其传播活动以适应不断变化的全球环境。

如果从技术的角度考虑大流行的影响，许多人会觉得，全球大部分劳动力都转向了远程工作。根据雇主的规模和资源，员工开始利用 VPN 解决方案、雇主提供或个人计算设备以及家庭互联网连接。这些发展极大地改变了企业网络安全保护的应用方式，比过去十年中的发展都要大。此外，这种转变甚至可能影响员工的风险承受能力。例如，增加对网络钓鱼电子邮件的怀疑，因为他们的工作设备现在已连接到家庭网络。结果，BEC 攻击者看到全球攻击面发生了巨大变化，因此需要改变他们的传播主题和技术。

在 2019 年，经常看到 BEC 攻击者将新的恶意软件载荷构建为可移植的可执行文件（.exe 文件），并使用具有商业主题（如发票或交货通知）的网络钓鱼活动传播它们。当时，微软Office文件格式有时也会被利用，增加了一层复杂性和模糊性。开发这些文档时最常用的两种技术包括CVE-2017-11882的利用代码或嵌入恶意宏。在这两种情况下，这些文档在打开时都旨在从在线资源中调用、下载和运行恶意载荷。然而，在研究人员 2019 年分析的所有样本中，只有 3.5% 使用了宏，只有 3.6% 使用了 CVE-2017-11882 技术。

早在2020年1月，钓鱼诱饵就开始使用与大流行相关的主题，随着主题的改变，目标受众和传播数据包也发生了变化。虽然可移植的可执行文件仍然很流行，但研究人员观察到 Microsoft Word 和 Excel 文档的数量显着增加。到今年年底，带有嵌入式宏的Microsoft Office文档保持在3.5%的稳定水平，但使用熟悉且文档齐全的CVE-2017-11882的文档攀升至13.5%。

幸运的是，CVE-2017-11882现在是一个存在了4年的漏洞，它的有效性和使用会随着时间的推移而减弱，这是有道理的。相反，宏具有更持久的存在，因为它们相对容易编码，并依赖于毫无戒心的受害者启用它们。在回顾我们2021年上半年的遥测数据时，我们的初步发现显示，只有很少数量的恶意软件样本使用了CVE技术，而69%的恶意软件样本现在是带有嵌入式宏的Office文档。

我们知道，新冠疫情推动了支持远程工作的各种技术(云计算、视频会议等)呈指数级发展。与此同时，研究人员也发现打包为 Office 文档的恶意软件惊人的增长曲线——从 2019 年的 7% 上升到 2020 年的 17%，再到 2021 年的 69%——值得进一步调查。深入研究后，研究人员发现，到2021年中期，打包成Office文档的恶意软件样本的原始数量已经达到或远远超过研究人员在前几年观察到的年度样本数量。因此，研究人员仍然相信该趋势还存在很大的增长空间。

与此同时，研究人员认为，在2020年年中至2021年初期间，全球几乎所有企业都修订了其网络安全态势，改变了环境中的设备，重新构建了网络流量，并加强了网络安全政策，以支持远程工作。在分析威胁趋势时，必须考虑这些变化的影响。这些调整在宏观层面结合应用，显着改变了边界（防火墙）和主机（端点）层面的攻击可见性。例如，在企业工作环境中进行网络安全分析后可能允许的附件在远程工作环境中可能已被默认阻止。根据实施情况，此类更改将降低网络安全公司对攻击的可见性。因此，几乎不可能在大流行前和大流行后的攻击活动之间进行比较，因为整个网络安全行业的收集态势发生了巨大变化。研究人员将这一经验应用于研究人员对恶意 Office 文档的观察，并评估研究人员 2021 年 69% 的初步调查结果可能是由于过去一年收集状况的变化而人为夸大的。

缓解BEC攻击

政府层面

2018 年，FBI 发起了第一次针对 BEC 攻击者的全球活动，称为“WireWire 行动”。在六个月的时间里，通过与 Palo Alto Networks、FlashPoint、国家网络取证培训联盟 (NCFTA) 和其他几个机构的密切合作，执法机构能够逮捕全球 74 名攻击者。一年后，联邦调查局发起了“连线行动”(Operation Rewired)，在该行动中，全球又逮捕了281名攻击者。其中包括与EFCC密切协调在尼日利亚被捕的167人。

2020 年 6 月，一名名为“Hushpuppi”的尼日利亚社交媒体网红在迪拜被捕。他随后被联邦调查局起诉，盗窃了超过 2400 万美元。

2020 年 11 月，国际刑警组织与 NFP 一起逮捕了三名尼日利亚攻击者，他们被指控使用 26 个不同的恶意软件家族在 150 多个国家/地区对受害者进行 BEC 活动。

企业预防措施

1.查看网络安全策略，企业应重点关注员工可以在连接到公司网络的设备上下载和打开的文件类型（便携式可执行文件、带有宏的文档等）。此外，应建立 URL 过滤规则以限制对以下类别域的默认访问：新注册、内容不足、动态 DNS、停放和恶意软件。

2.定期检查邮件服务器配置、员工邮件设置和连接日志。重点关注识别员工邮件转发规则和识别邮件服务器的外部或异常连接。如果可能，请考虑实施地理 IP 阻止。例如，小型本地企业不需要来自外国的登录尝试。

3.进行员工培训。常规网络攻击意识培训是其中的一个组成部分；但是，组织还应考虑针对其销售和财务组成部分进行量身定制的培训。

4.每年定期进行攻击风险评估，以测试组织控制并验证环境中没有发生未经授权的活动。通过定期查看邮箱规则和用户登录模式，这些评估可以验证控件是否按预期运行，以及是否在整个环境中有效阻止了不需要的行为。

本文翻译自：https://unit42.paloaltonetworks.com/silverterrier-nigerian-business-email-compromise/如若转载，请注明原文地址