根据大多数的每日头条新闻,你可能会认为,目前大多数的网络犯罪问题仅涉及几个“热点”国家,如中国、俄罗斯和伊朗等。然而,这并不是完全事实,仍然有来自于“热点”国家之外的大量网络攻击活动,如尼日利亚。
当你想到尼日利亚和网络犯罪,你的第一反应可能是熟悉的尼日利亚“419”骗局。近年来,尼日利亚网络犯罪异常猖獗,近期出现的来自尼日利亚的潜在网络攻击,可能会造成物理破坏或财产损失,甚至可能影响到人们的生活。因此,我们决定深入调查下去。***文末有彩蛋***
1 尼日利亚网络诈骗趋向高端复杂
Cylance的调查以最近针对印度工业界为目标的网络攻击开始,这些网络攻击来自于尼日利亚,主要以印度制造业、航运、物流和运输公司为目标,网络攻击的目的是窃取大量财务数据,同时,通过利用木马Pony和Hawkeye,入侵受害者个人和公司邮箱甚至是企业内网和VPN网络。
这些网络攻击与通常的数据窃取案例不同,攻击者还做出些异常行为:在受害者邮箱中查找公司或企业个人信息作为下一步渗透目标。攻击者在入侵企业邮箱之后所获得的数据是惊人的,这些敏感信息包括:雇员记录、银行交易明细、车辆或海洋船舶跟踪信息、标准、知识产权。
从2015年10月到2016年6月,这类网络攻击已经发起过多次“攻势”。随着Pony Loader 2.2木马的植入,攻击者就会开始初始阶段攻击。攻击者非常狡猾,通过注册与目标公司有生意往来公司的相似域名,向目标公司雇员发送鱼叉式钓鱼邮件。下图就是邮件样本:
图1:鱼叉式邮件1伪造的货物查询单(包含恶意附件)
图2:鱼叉式邮件2伪造的虚假账户确认信息 (包含恶意附件)
以上的鱼叉式钓鱼邮件中用.BZ和.ACE格式文件,压缩成可执行exe文件(解压之后是.exe或.scr文件),当然,其中就内置了Pony或Hawkeye木马程序。当攻击者获取目标邮箱控制权后,就会向邮箱内涉及的其它账户发送进一步的鱼叉式钓鱼邮件。
图3:鱼叉式邮件3假发票确认信息 (包含恶意附件)
图4:鱼叉式邮件4 樟宜空运中心查询单(注意拼写错误) (恶意附件中包含Pony 和Hawkeye)
2 木马控制端和配置信息
通过调查,Cylance还原出了攻击者的木马控制端
图5:Pony 2.2控制端1
我们的调查以自2016年4月开始至今的这类网络攻击为主,在4月份,攻击者通过英国的Unlimited Web Hosting主机托管平台建立了攻击域名,多个注册域名被用来设置Pony木马和其它托管恶意软件:
cosmoships-gr(dot)com
equinoxdsitribution(dot)com
etaship-sg(dot)com
fortressict-nl(dot)com
friendshlp-chartering(dot)com
iwenconsultinggroup(dot)com
nevig8group(dot)com
nqvoil-sg(dot)com
octagonainternational(dot)com
pcchand(dot)com
pruship-tw(dot)com
seahorsegroup-in(dot)com
toships(dot)net
tosihps(dot)com
toslhips(dot)com
toslhps(dot)com
vietexcurisons(dot)com
alexbensonship(dot)com
木马控制端使用最久的域名是nqvoil-sg.com和pcchand.com(于2016年6月14下线),木马的C&C服务器经常使用friendship-chartering.com,toships.net, tosihps.com。另外,还有一些被注册用来发送鱼叉式邮件的域名:
图6:Pony 2.2控制端2
图7:Pony 2.2控制端3
图8:Pony 2.2控制端4
图9:Pony 2.2控制端5
在收集了充足的凭据信息之后,攻击者就可以获得大量的敏感信息,甚至可以利用获得的信息造成财产和物理破坏。攻击者不仅可以访问关键财务数据,如账号、交易ID,银行路由号码,SWIFT代码,IBAN码,等等,而且,攻击者可直接访问车辆、运输和物流数据,这些数据覆盖所有商业和政府船舶车队的路线和位置信息。以下就是攻击者收集的金融和运输数据:
图10:攻击者收集的银行凭据敏感信息-1
图11:攻击者收集的其它敏感数据信息-2
图12:攻击者收集的其它敏感数据信息-3
图13:攻击者收集的车辆货物跟踪信息-1
图14:攻击者收集的车辆货物跟踪信息-2
图15:攻击者收集的车辆货物跟踪信息-3
图16:攻击者收集的车辆货物跟踪信息-4
3 在攻击中使用的恶意软件
攻击者少数几次使用了Hawkeye或Zeus,大多攻击目标是利用Pony Loader 2.2来实现控制的。Pony植入受害者电脑后开始收集大量凭据和数据信息,Pony 2.2能够收集RDP, HTTP/HTTP, FTP, SFTP, SMTP,POP3, IMAP甚至是比特币信息。
比特币盗窃模块使用了一个新型的Pony Loader,Pony 2.0首次加入了对加密电子币的窃取功能和针对某些产品的密码窃取模块。
密码相关模块列表:
RDP捕获模块:
从下面这段代码可以看出受害者电脑上的数据是如何被上传的:
Pony Loader在攻击者本地MySQL 数据库中储存窃取信息,这个功能在本地主机的database.php中可以看出:
通过攻击者控制端中的 config.php可以看出MySQL 的配置明文信息:
执行后,Pony Loader识别受害者电脑上运行的杀毒软件,并试图逃避检测。以下是攻击者免杀针对的杀毒软件:
* BitDefender
* 卡巴斯基
* AVG
和这类攻击有关的Pony二进制文件大部分是通过 PonyBuilder生成的,但有一些是利用名为DarkEyE Protector的现成加密工具加密过:
在其中的一例中,我们发现DarkEyE Protector和邮箱akashop25@gmail.com有关,这个邮箱也和Pony 的C&C注册域名有关:
我们回头看那些发送的鱼叉式邮件,可以看到该邮箱被用作发件地址:
4 属性
从之前趋势科技的分析报告结合本次研究,可以看出,有很多线索都指向了尼日利亚,另外,我们也发现在 Pony的管理界面中有多个来自尼日利亚的登录信息:
在Pony管理界面中,我们还看到攻击者经常使用的带有尼日利亚色彩的用户名和密码,其中一个特定的攻击者经常使用字段“waxxy”,而尼日利亚有一个著名的DJ就叫 DJ Waxxy。
EX: waxxy3:waxxysomuch
EX: waxxy3:vgwbnpcnra
EX: waxxy3:louiss33
另外,我们也还看到与尼日利亚女演员ChiomaChukwuka 相关的字段“chukwuka123” 、“chukwuka”、 “chukwuka”。
而且“chukwuka” 字段经常被用作Pony管理界面的密码,一些被入侵的邮箱账户其密码也被更改为“chukwuka”。
另外,一个特定的用户名相关的电子邮件帐户onyeb4real@gmail.com频繁地被攻击者使用,该邮件账户被用作发送恶意邮件、社工信息和管理登录等。
通常情况下,“onyeb4real”字符串配合“louis33”使用。如果我们查看“waxxy”,发现它经常和“louiss”配对使用,或者与“onyeb4real” “waxxy”一起使用。
所有的OSINT信息指向了一个经常使用Waxxy字段名为“Louis”的尼日利亚人,其社交媒体账号也显示其邮箱地址为:onyeb4real@gmail.com.
对此人信息交叉关联可得某些数据片段—-他曾在一个分类广告网站上卖过一部二手黑莓手机!
====================================分割线================================
本文转自d1net(转载)