ビデオ: Amito cosita ã ã ã (九月 2024)
それらのナイジェリアの王子は、彼らの袖に新しいトリックを持っています。
それらの419の詐欺を覚えていますか? これらは、国外への富の移転を支援するためにwillしみなく支払うことをいとわない裕福な個人からのものであると称される、よく書かれていないメールメッセージでした。 実際には、被害者が支援のために金銭的な詳細を引き渡し、大きな見返りを得ると、詐欺師は銀行口座を略奪して姿を消しました。
パロアルトネットワークスの研究者によると、これらの詐欺師は、以前より高度なサイバー犯罪およびサイバースパイグループが使用していた攻撃手法とデータを盗むマルウェアを手に入れたようです。 同社の脅威インテリジェンスチームであるUnit 42の研究者は、火曜日にリリースされた「419 Evolution」レポートで、台湾および韓国の企業に対する一連の攻撃の概要を説明しました。
過去において、ソーシャルエンジニアリングの詐欺は、主に「裕福な、疑いを持たない個人」を標的にしました。 新しいツールを手に入れたこれらの419人の詐欺師は、被害者プールを企業に移行させたようです。
「俳優は高度な技術的洞察力を示していないが、以前は主な標的ではなかった企業に対する脅威が増大している」とUnit 42のインテリジェンスディレクターであるRyan Olsonは述べた。
初心者による洗練された攻撃
パロアルトネットワークスは、過去3か月間、Unit 42の研究者によって「シルバースパニエル」と呼ばれる攻撃を追跡しました。 攻撃は悪意のある電子メールの添付ファイルから始まり、クリックすると被害者のコンピューターにマルウェアがインストールされました。 1つの例は、NetWireと呼ばれるリモート管理ツール(RAT)です。これにより、攻撃者はWindows、Mac OS X、およびLinuxマシンをリモートで乗っ取ることができます。 別のツールであるDataScramblerを使用してNetWireを再パッケージ化し、ウイルス対策プログラムによる検出を回避しました。 レポートでは、DarkComet RATもこれらの攻撃に使用されていると述べています。
これらのツールは安価で、地下のフォーラムで容易に入手でき、「ラップトップと電子メールアドレスを持っている人なら誰でも展開できる」と報告書は述べています。
419人の詐欺師はソーシャルエンジニアリングの専門家でしたが、マルウェアの操作に関しては初心者であり、「運用セキュリティが著しく劣っていることを示しました」と報告書は発見しました。 コマンドアンドコントロールインフラストラクチャは、動的DNSドメイン(NoIP.comから)およびVPNサービス(NVPN.netから)を使用するように設計されていましたが、一部の攻撃者はDNSドメインが独自のIPアドレスを指すように構成しました。 研究者は、ナイジェリアのモバイルおよび衛星インターネットプロバイダーへの接続を追跡できたと報告書は述べています。
詐欺師は学ぶべきことがたくさんあります
現時点では、攻撃者はソフトウェアの脆弱性を利用しておらず、被害者をだましてマルウェアをインストールさせるソーシャルエンジニアリング(非常に得意な技術)に依拠しています。 彼らは、パスワードやその他のデータを盗んで、フォローアップソーシャルエンジニアリング攻撃を仕掛けているようです。
「これまでのところ、設置された二次ペイロードやシステム間の横方向の動きは観察していませんが、この活動を除外することはできません」と研究者は書いています。
研究者は、Facebookでマルウェアについて繰り返し言及しているナイジェリア人を発見し、特定のNetWire機能について尋ねたり、ZeusやSpyEyeとの連携をサポートするよう求めたりしました。 研究者はまだこの特定のアクターをシルバースパニエル攻撃に結び付けていないが、彼は「419詐欺を犯して犯罪歴を始め、アンダーグラウンドフォーラムにあるマルウェアツールを使用するように技術を進化させている」誰かの例であったとパロアルトネットワークスは述べた。
レポートでは、電子メール上のすべての実行可能添付ファイルをブロックし、潜在的な悪意のあるファイルについて.zipおよび.rarアーカイブを検査することを推奨しています。 また、ファイアウォールは一般的に悪用されるダイナミックDNSドメインへのアクセスをブロックする必要があり、ファイル名が正当または自分の仕事に関連しているように見える場合でも、添付ファイルを疑うようにユーザーを訓練する必要があります、とパロアルトネットワークスは言いました。 レポートには、Netwireトラフィックを検出するためのSnortおよびSuricataルールが含まれていました。 研究者は、コマンドおよび制御トラフィックを解読およびデコードし、シルバースパニエルの攻撃者によって盗まれたデータを明らかにする無料のツールもリリースしました。
「現時点では、Silver Spanielのアクターが新しいツールやエクスプロイトの開発を開始することは期待していませんが、より有能なアクターによって作成された新しいツールを採用する可能性があります。」
