安全是有分量的

ddos防火墙_高防服务器租用_快速接入

2022-06-19 16:50栏目:数据

ddos防火墙_高防服务器租用_快速接入

在过去的一年里,据信来自俄罗斯网络犯罪领域的一批新的欺诈者将商业电子邮件妥协(BEC)骗局提升到了一个新的水平。

大多数BEC攻击来自尼日利亚演员,他们的目标是任何规模的公司。"宇宙猞猁"是一个不同的品种,专注于跨国公司,并试图取得大席,要求巨额资金(几十万甚至数百万美元)转移到香港的胡尔账户。电子邮件防范公司Agari tracking Cosmic Lynx的研究人员表示,该组织自2019年7月以来应对200多起BEC攻击负责,nginx防御ddos模块,并显示出与其他BEC参与者相比前所未有的操作复杂性。

此外,宇宙猞猁依赖于与来自Emotet和TrickBot的恶意软件活动相关的基础设施,这些活动与俄罗斯地下犯罪分子有关。

奠定基础

几乎所有受到这一威胁的公司都有全球影响力,其中许多公司都在《财富》500强名单或全球2000强中。

该集团通常冒充目标公司的首席执行官,向高级管理人员(在75%的情况下,头衔是副总裁、总经理或总经理)发送电子邮件请求,以结束与亚洲公司的收购。

目标员工被告知,外部法律顾问将帮助协调完成交易的付款,专业防御ddos,并且在收购结束之前,必须有最大的自由裁量权。

然后,宇宙猞猁劫持了一名真正律师的身份,美国防御CCvps,并向受害者发送了一封介绍性电子邮件,概述了该程序。

他们确保让收件人知道他们之间的交流是保密的,所以交易的细节不会泄露。根据双方签署的所谓保密协议保密。

除了用真实律师的照片和姓名创建详细签名外,演员还注册了与合法律师事务所类似的域名。

在攻击的最后阶段,宇宙猞猁说服目标员工向香港的骡子账户支付款项。Agari说,美国防御CCvps,宇宙猞猁在某些国家避免获得付款,美国就是其中之一,这表明它们只有在某些国家才有骡子。次级账户位于罗马尼亚、匈牙利和葡萄牙。

技术技能

与大多数参与BEC欺诈的团体不同,Cosmic Lynx在技术层面上运作,使他们能够控制攻击中使用的电子邮件基础设施,并使调查更加困难。

参与者依赖匿名域名提供商提供的服务和防弹主机来隐藏其身份,并在执法部门要求提供有关他们的信息时获得警报。

Agari说,Cosmic Lynx将其域名指向Cloudflare,使其看起来更合法,并创建一个子域名用于电子邮件通信目的。

参与者还调查受害者,了解他们是否有DMARC安全策略。这让他们知道他们是否可以欺骗组织的电子邮件地址,这将使他们的电子邮件看起来可信。

此外,根据DMARC设置(p=隔离,p=无,局域网ddos攻击防御,p=拒绝),他们可以选择更改电子邮件地址中的显示名称,使其看起来像来自CEO

俄罗斯连接

这一熟练程度与精通保护其操作和绕过安全控制的专业网络罪犯相呼应。Agari发现Cosmic Lynx基础设施中的IP地址和域被用于其他恶意活动,如Android设备的点击欺诈,或用于命令和控制的诡计活动。

在2020年3月至4月期间,Emotet也被列入使用与Cosmic Lynx相同的基础设施的臭名昭著的威胁名单。后者的邮件服务器托管在一个IP地址上,该IP地址用于存储链接到Emotet和TrickBot的恶意文档。

即使这些组织单独运作,这也表明它们与参与复杂恶意行动的俄罗斯地下犯罪组织的行为者有联系。

支持宇宙猞猁位于俄罗斯的理论的是发送给受害者的电子邮件头的元数据,其中包含设置为莫斯科标准时间的时间和日期戳,而宇宙猞猁基础设施的任何部分都不在俄罗斯。但是,这一证据可能会被发送者篡改。

Agari还注意到,宇宙猞猁使用的一些IP地址与承载提供俄罗斯假文件网站的基础设施重叠。

所有这些线索都指向了俄罗斯的一个威胁行动方,这使得宇宙猞猁成为该地区的第一个威胁行动方。