趨勢科技與國際刑警組織合作破獲奈及利亞BEC變臉詐騙集團,三嫌不法獲利 6,000 萬美元

奈及利亞「經濟與金融犯罪委員會」 (EFCC) 在一項名為「Operation Killer Bee」(殺人蜂行動) 的突襲誘捕行動當中逮捕了三名涉及全球詐騙的奈及利亞籍嫌犯。趨勢科技在這項行動當中提供了有關該集團的背景資訊及做案手法。

背景

2020 年初,就在「石油輸出國組織」 (OPEC) 為了因應 新冠肺炎(COVID-19) 疫情而決定在俄羅斯與沙烏地阿拉伯地區減產前夕,許多石油天然氣產業的公司都遭到了網路攻擊,駭客使用的是Agent Tesla 惡意程式。我們分析了這起攻擊使用的惡意程式樣本 (趨勢科技命名為  TrojanSpy.MSIL.NEGASTEAL.THCAFBB,SHA-256 雜湊碼 0f67d58cb68cf3c5f95308f2542df6ff2e9444dc3efe9dd99dc24ab0f48a4756),找出了惡意程式背後的駭客集團以及他們的做案手法 ─ 假冒埃及某大型石油公司。

趨勢科技所分析的惡意程式會竊取某些應用程式和通訊協定的資訊與登入憑證,如:瀏覽器、電子郵件用戶端、FTP 檔案傳輸協定、Wi-Fi 等等。除此之外,也會鍵盤側錄輸入並擷取螢幕截圖。

除了使用 Agent Tesla 惡意程式之外,該集團還使用 Yandex 電子郵件服務來當成資料接收站。從監測資料當中我們觀察到很多偵測案例都出現在中東及東南亞地區,這一點相當合理,因為大多數的石油公司及生產設備和工廠都集中在這些地區。圖 1 的感染分布圖顯示的是資料接收站的資訊。

圖 1:假冒某大型石油公司的電子郵件收件人分布國家 (由埃及石油部 Ministry of Petroleum 提供)。資料取自趨勢科技 Smart Protection Network。Distribution of countries that had recipients receive emails disguised as coming from a major petroleum company (sourced from the Ministry of Petroleum in Egypt). Data from Trend Micro Smart Protection Network.
圖 1:假冒某大型石油公司的電子郵件收件人分布國家 (由埃及石油部 Ministry of Petroleum 提供)。資料取自趨勢科技 Smart Protection Network。


經過幾個月的調查,趨勢科技找到了這起攻擊背後的集團,並且將資料提供給國際刑警組織 (Interpol) 和奈及利亞經濟與金融犯罪委員會 (EFCC)。此外,我們也進一步提供該惡意程式的衝擊數據,包括感染數量與損失金額。最後,我們還提供了有關該集團做案手法的資訊。這個由奈及利亞籍成員所組成的犯罪集團最惡名昭彰的是使用像 LokiBot 和 Agent Tesla 這類惡意程式。

EFCC為了加強區域及國際性合作,最近才在泰國普吉島舉行的一項研討會中披露了這些資訊。趨勢科技很榮幸參加了這項研討會,並在會中分享當前及未來的網路資安威脅趨勢 (詳情請參閱我們的 2021 年網路資安報告「因應資安新局勢」)。

Interpol 將這項行動命名為「Operation Killer Bee」(殺人蜂行動) 並在會中特別指出已逮捕三名利用 Agent Tesla 惡意程式竊取資訊並從事變臉詐騙攻擊或稱為商務電子郵件入侵 (Business Email Compromise, BEC)的嫌犯。EFCC 提供了嫌犯的照片,而趨勢科技則提供了鑑識分析資料。

若對照 2022 年 5 月 Interpol 逮捕的奈及利亞駭客集團 ,以及先前 Palo Alto 與 Group-IB 在趨勢科技協助下所進行的逮捕行動,可以看出目前奈及利亞有大量的駭客集團都在散播惡意程式及從事變臉詐騙。

圖 2:EFCC 逮捕了三名專門從事資訊竊取與變臉詐騙的嫌犯。影像來源:Interpol。
EFCC arrested three malicious actors involved with information-stealing campaigns and BEC scams. Image courtesy of Interpol.
圖 2:EFCC 逮捕了三名專門從事資訊竊取與變臉詐騙的嫌犯。影像來源:Interpol。

釣魚網站也有中文版,惡意網址多位於中國,鎖定目標包含:DHL Express、中國順豐速運


第一名嫌犯主要是從事變臉詐騙,我們從他的資料接收站發現他所蒐集了一些發票文件,他利用這些發票來從事變臉詐騙,受害企業遍布墨西哥、西班牙、美國及德國,累積不法獲利大約 6,000 萬美元。此外,某家西班牙石油及天然氣公司與某家墨西哥金融機構,也被歹徒利用資訊竊盜程式偷來的發票詐取了鉅額款項。

第二名嫌犯擁有技術背景,專門負責架設網路釣魚(Phishing)網站、散播資訊竊取程式、散發垃圾郵件及變臉詐騙郵件,擁有 70 個以上的網路釣魚網址。從 2019 年 4 月至 2020 年 8 月,趨勢科技偵測到 144,000 個內含「excelz」字樣的惡意網址,這是攻擊用到的網路釣魚套件的目錄名稱。這些偵測到的惡意網址絕大多數都位於中國,其次是美國、德國和日本。

這個以 Excel 為主題的網路釣魚行動總共用到 1,838 個非重複網域,所以,歹徒的網路釣魚套件很可是租來的。這名嫌犯負責協助前一名嫌犯架設網路釣魚連結,我們可在其檔案目錄中看到他們的代號。他們的犯案過程通常是先入侵某個合法網站的網站指令列工具 (Xleet) 來散布網路釣魚網頁。入侵網站之後,就會經由非標準的設定用連接埠來存取網站的控制台。除了英文的網路釣魚詐騙之外,他們也有一些非英文的網路釣魚詐騙,如:中文及韓文。而被鎖定的目標包括:DHL Express、WebMail Upgrade 及 SF Express (中國順豐速運)。

圖 3:偽裝成加密 Excel 檔案的網路釣魚頁面。
Phishing page disguised as an encrypted Excel file
圖 3:偽裝成加密 Excel 檔案的網路釣魚頁面。


除了網路釣魚(Phishing)之外,第二名嫌犯也會部署資訊竊取惡意程式。根據我們的分析,他會使用 Skype 和 ICQ 和其他歹徒溝通,並使用 Turbo-Mailer 來發送含有惡意附件的垃圾郵件。此外,還會建立 Gmail 電子郵件帳號來當成資料接收站,用來接收偷到的登入憑證,趨勢科技有拿到一封他從奈及利亞 IP 位址發送的測試郵件。

根據分析顯示,這批歹徒在攻擊時會利用國碼和「LTD」、「PLC」等字樣來搜尋攻擊目標,在中國及一些其他國家還會使用「pharmaceuticals」、「suppliers」及「manufacturers」之類的搜尋關鍵字。他們的垃圾郵件大約觸及了 230 萬個電子郵件地址,並且竊取或盜用了 200 多個 SMTP 登入憑證與電子郵件帳號。此外,他們還租用了 15 台具備 SMTP 功能的虛擬私人伺服器 (VPS) 來發動這些攻擊。某些 IP 伺服器都與網路釣魚、勒索垃圾郵件及 Remcos RAT 這類工具有所關聯。經由先前提到的 Agent Tesla 樣本的資料接收站連線,我們找了以下 Agent Tesla 樣本:

  • 58b3460db527dcface80872b12eebc8385b94e70f4703e3ea05781b7979f814a
  • 5fc8a7b09c8cd50542203b5292a0e3650c38e4fc5b5ad4ffef63ecfeb9783b6c

第三名歹徒坦承犯下四項罪名,包括:持有偽造文件、詐欺取財、持有犯罪所得,以及冒用身分。他與 15 個電子郵件地址有所關聯,有些用於變臉詐騙,專門攻擊德國、日本、南韓等國的企業 (駭客使用 Gmail 來假冒這些企業的名義)。前述請求付款的偽造發票文件也用於變臉詐騙 (金額約 10 萬美元)。經過進一步深入調查,顯示該名歹徒與某虛擬貨幣錢包有所關聯,錢包餘額價值相當於 1.33 億美元。

做案手法


我們從 Agent Tesla 樣本發現歹徒的活動最早可追溯至 2018 年,一開始是從事網路釣魚攻擊以及部署資訊竊取惡意程式,如 LokiBot 和 Fareit。

圖 4 顯示的做案手法是奈及利亞犯罪集團慣用的典型流程。 

The typical modus operandi used by the Nigerian malicious actors
圖 4:奈及利亞犯罪集團慣用的典型做案手法。

一開始,歹徒會從網際網路蒐集各種公開的電子郵件地址並儲存在一個文字檔中。此外,還會使用 Lite Email Extractor 之類的工具來蒐集電子郵件地址。為了擴大攻擊目標,歹徒還會在 Google 搜尋某些特定關鍵字,如「LTD」、「PLC」以及「manufacturing suppliers」。

在建立攻擊目標清單之後,它們會透過 Skype 和 ICQ 與其他歹徒分享這些資訊。接下來,他們會購買具備 SMTP 功能的 VPS,有時也會利用已經感染資訊竊取惡意程式的郵件伺服器。在 VPS 上,他們會安裝 Gammadyne 或 Turbo-Mailer 來協助他們製作網路釣魚郵件或垃圾郵件,並加入惡意附件檔案,然後再建立電子郵件地址清單。在這之前,他們有可能還會購買一些網域,並設定給網路釣魚活動使用 (有時會模仿某家企業的官方網站)。除此之外,他們也會從網路犯罪地下市場取得資訊竊取惡意程式 (通常經由 Skype),然後要求提供加密服務與幕後操縱 (C&C) 伺服器設定上的支援,接著設定 C&C 伺服器代管。當這一切都準備就緒後,歹徒就會啟動 Gammadyne 或 Turbo-Mailer 並放著讓它自己執行。

為了盡可能避免留下痕跡,歹徒會透過遠端桌面協定 (RDP) 來存取乾淨的 VPS,這些伺服器是他們向 Almahosting 這類防彈主機代管 (BPH) 服務所租用。接下來,歹徒就等著被感染的電腦傳回資訊,這些資訊會傳送至資料接收站或 C&C 伺服器。例如,Agent Tesla 會記錄電子郵件伺服器的登入憑證、網頁瀏覽器活動、受害者 IP 位址,有時候還會擷取桌面截圖並側錄鍵盤輸入。在這個階段,歹徒會將已竊取資訊的記錄檔彙整,並與其他歹徒分享,以便進行後續的變臉詐騙。他們會試著尋找目標機構的弱點,然後攔截其電子郵件對話、篡改發票中的銀行帳號,並假借受害企業名義跟合作夥伴或供應商進行後續聯絡。他們也會利用偷到的憑證登入受害者的銀行帳戶,藉此監視受害者以便從事匯款詐騙,並等待適當的時機使用社交工程技巧,最終目標是要將錢匯到歹徒的帳號。

執法機關與民間機構合作的成功案例


像 Operation Killer Bee 這樣的公私部門合作,讓資安產業有機會貢獻其技能、資源及多年的經驗,協助執法機關 (如Interpol) 強化其網路犯罪調查與逮捕能力。在過去幾年當中,這類合作已經締造了許多成功破獲網路犯罪集團的案例。 

為此,我們很榮幸能與 Interpol 合作,並希望能繼續與他們合作來改善網路資安情勢,維護數位世界的安全。

◼原文出處:Trend Micro Partners With Interpol and Nigeria’s EFCC for Operation Killer Bee, Takes Down Nigerian BEC Actors 作者:Paul Pajares