尼日利亚黑客发起的BEC网络攻击

亚信保障发布2018年保障威胁占卜中曾提及，本年度，商业电子邮件攻击〔BEC〕大事会持续增长，并最后导致全球超过90亿美元损失，BEC攻击最先选依赖于社会工程学，向特定意向发送钓鱼邮件，达到攻击目，

近日，咱们发现一些携带LokiPWS stealer载荷BEC攻击，攻击者IP大多来自于尼日利亚，这次攻击中，黑客选取邮件作为攻击向量，同时伪造发件人地址，起到欺骗目，

【发动BEC攻击电子邮件】

【发动BEC攻击电子邮件】

该邮件附件MTS-509EASH4.rar解压缩后，咱们可以看到其是一個可执行程序，文件名是MTS-509EASH4.exe

【邮件附件是可执行exe文件】

【邮件附件是可执行exe文件】

该文件属性如下图所示，从图中咱们可以看到，该恶意程序有祥明文件信息，目是欺骗运用者信任该程序，

Virustotal上检测情况

MTS-509EASH4.exe 恶意程序分析

该文件是用VB编写

该程序在运行后会主动获取以下浏览器秘密信息

%APPDATA%\Mozilla\Firefox\profiles.ini

%APPDATA%\Mozilla\Firefox\Profiles\wdfh4559.default\key3.db

%APPDATA%\Mozilla\Firefox\Profiles\wdfh4559.default\cert8.db

%APPDATA%\Mozilla\Firefox\Profiles\wdfh4559.default\SIGNONS3.TXT

%APPDATA%\Mozilla\Firefox\Profiles\wdfh4559.default\signons2.txt

%APPDATA%\Mozilla\Firefox\Profiles\wdfh4559.default\SIGNONS.TXT

%APPDATA%\Mozilla\Firefox\Profiles\wdfh4559.default\signons.sqlite

%APPDATA%\Mozilla\Firefox\Profiles\wdfh4559.default\secmod.db

%APPDATA%\Mozilla\Firefox\Profiles\wdfh4559.default\signons3.txt

%APPDATA%\Mozilla\Firefox\Profiles\wdfh4559.default\signons.txt

%APPDATA%\Mozilla\Firefox\Profiles\wdfh4559.default\logins.json

%APPDATA%\Mozilla\Firefox\Profiles\wdfh4559.default\signons.sqlite-wal

其会链接到以下地址 www.{blocked}.cf

咱们发现该C&C站点依旧活跃

在该网站目录下，咱们发现Loki PWS C&C panel

关于Loki这款盗号木马C&C控制端代码，网上已经有泄漏，祥明信息请参考链接：https：//github.com/runvirus/LokiPWS

其中，fre.php正是木马客户端连接C&C入口

下图是C&C panel主界面，PvqDq929BSx_A_D_M1n_a.php 这個文件是Loki PWS 典型特征，

【C&Cpanel主界面】

【C&Cpanel主界面】

Bot客户端信息

经由控制台可以向Bot下发指令

Loki盗取密码

木马客户端一些统计信息

有意思是最新变种还有盗取比特币账户功能

根据对被入侵主机日志分析发现黑客IP坐落尼日利亚

此前，保障公司 Check Point过去公布过关于尼日利亚黑客针对能源，矿产等基石设施行业网络攻击行动，

BEC攻击最先选依赖于社会工程学，咱们可以从以下几方面着手，预防BEC攻击：

1、企业可以经由员工培训来减少BEC带来损失；
2、可以采纳多重验证手段，如电话验证；抵抗BEC攻击；
3、运用Web网关可以有效监测社会工程学诈骗、伪造行为。

参考资料：

https：//www.sans.org/reading-room/whitepapers/malicious/loki-bot-information-stealer-keylogger-more-37850

https：//blog.checkpoint.com/2017/08/15/get-rich-die-trying-case-study-real-identity-behind-wave-cyberattacks-energy-mining-infrastructure-companies/

https：//www.bleepingcomputer.com/news/security/lone-nigerian-hacker-behind-attempted-hacks-at-4-000-organizations/

*本文作者：亚信保障，转载请注明来自FreeBuf.COM