一张图说清各网络犯罪组织之间的关联

实际上网络犯罪的生态系统要比大家想象得小得多,紧密得多。

编译:奇安信代码卫士团队

网络安全报告通常都认为威胁组织及其恶意软件/hacking 活动之间是独立存在的,但实际上网络犯罪生态系统要小得多而且它们之间的联系要比外行想象得更为紧密。

网络犯罪组织通常具有复杂得供应链,和真正得软件企业无异,而且它们定期和其它电子犯罪生态系统开发联系以获得对执行攻击或将利益最大化至关重要得关键技术。

网络安全公司 CrowdStrike 分析指出,这些第三方技术可分为三类:服务、发行和变现。

具体讲,服务类通常包括:

  • 访问经纪人:攻陷企业网络并将企业内网的访问权限卖给其它团伙的威胁行动者。

  • DDoS 攻击工具:也被称为“DDoS 引导程序“或”DDoS 雇佣“,这些组织提供的是对基于 Web 的门户访问权限,任何人均可发动 DDoS 攻击。

  • 匿名和加密:出售非公开代理和 VPN 网络访问权限的组织,便于黑客伪装自己的位置及攻击来源。

  • 钓鱼包:这类组织负责创建并维护钓鱼包、用于自动化执行钓鱼攻击的 Web 工具以及收集被钓鱼的凭据。

  • 硬件卖家:出售自定义硬件如 ATM skimmer、网络嗅探设备等的组织。

  • 勒索软件:也被称为“勒索软件即服务“或 “RaaS”,这些组织出售勒索软件或基于 Web 的面板(以便攻击者可构建自己的定制化勒索软件)的访问权限。

  • 犯罪即服务:类似于 RaaS,但这些组织提供对银行木马或其它类型恶意软件的访问权限。

  • 加载器:也被称为“僵尸装置“,这类组织已经通过自有恶意软件感染了计算机、智能手机和服务器,并主动提供在同样系统上“加载/安装”其它组织的恶意软件的服务,以便其它组织能够通过勒索软件、银行木马、信息窃取工具等进行变现。

  • 反病毒服务/检查工具:它们是非公开的 Web 门户,方便恶意软件运维上传样本并在现代反病毒系统引擎上进行测试,而无需担心和反病毒厂商共享恶意软件的检测。

  • 恶意软件封装服务:基于 Web 或桌面的工具,供恶意软件开发人员抢占恶意软件代码,使反病毒软件难以检测。

  • 信用卡/储蓄卡测试服务:这些工具能让黑客测试所获取的支付卡号的格式是否有效以及卡是否在有效期。

  • Webinject 工具包:这些事特制工具,通常和银行木马结合使用,使银行木马团伙能够在受害者访问电子银行或其它站点时将恶意代码插入受害者浏览器中。

  • 托管&基础设施:也被称为“防弹”托管提供商,其名称已说明一切,即专门向犯罪团伙提供非公开的 Web 托管基础设施。

  • 具有犯罪目标的招聘:这些组织专门招聘、贿赂或诱骗普通公民参与网络犯罪活动(如有人前往美国试图贿赂一名特斯拉员工,在公司内网运行恶意工具)。

发行服务包括:

  • 在社交网络或即时通讯应用上运行垃圾邮件活动的组织

  • 专注于垃圾邮件发行的组织

  • 开发并出售利用包的组织

  • 从被黑站点购买流量并传播到恶意网页(通常托管利用包、技术支持诈骗、金融诈骗、钓鱼包等)的组织

变现类别通常包括:

  • 钱骡服务:实际现身并从被黑 ATM 机取款并存到自己银行账户,之后转给黑客的组织,他们偏向洗钱或转运欺诈服务。

  • 洗钱:这些组织通常运行空壳企业网络,借此从被黑的银行账户、ATM 现金取款或盗窃密币,偷盗资金。某些洗钱服务同时还在暗网运行比特币混合服务。

  • 转运欺诈网络:这些组织拿走被盗资金、购买真实产品、将产品运送到其它国家。这些产品通常是豪车、电子产品或珠宝,之后被转售得到干净的钱财而转到黑客名下。

  • 转储商店:这些组织通过特殊网站和社交媒体渠道出售被黑企业的数据。

  • 勒索支付和敲诈勒索:专注于勒索受害者,可能由手握被盗数据的其它犯罪团伙实施。

  • 支付卡信息收集和出售:也被称为卡商店,通常是网络犯罪团伙出售被盗支付卡数据的论坛。

  • 密币服务:一种洗钱服务,提供“混合”被盗钱财的服务并帮助黑客掩盖被盗资金痕迹。

  • 远程诈骗:专门从事远程欺诈如 BEC 欺诈行为的组织。

一张图说清各网络犯罪组织之间的关联

由于当前加密通信信道的缘故,如今追踪各组织及其供应商之间的关联以及他们的协作活动几乎不可能办到。然而,在恶意软件攻击领域,还是可以通过恶意软件从攻击者流向受感染主机的方式中看到某些合作痕迹。

尽管这些关联可能永远无法完全得到证实,但还是可以发现 Emotet 恶意软件下载 TrickBot 恶意软件是 Emotet 团伙为 TrickBot 团伙提供的“加载器”机制。

CrowdStrike 公司在2021年全球威胁报告中首次概述了地下网络犯罪各种电子犯罪操纵人员当前的某些关联。由于该公司为电子犯罪团伙进行了命名,因此某些组织听起来似乎和之前我们知晓的组织不同。不过,该公司也提供了一个交互式指标(https://adversary.crowdstrike.com/),可供我们全面了解这些名称。

一张图说清各网络犯罪组织之间的关联

这张图表示,促成者在网络入侵活动中发挥的作用和实施入侵活动的组织一样重要。

上个月,Chainalysis 在另一份报告中指出,执法机构如果能够针对这些共享的服务供应商发起行动,那么在打压网络犯罪活动方面会取得更好的结果,因为可以一举拿下更多犯罪组织。另外还存在诸多好处。例如,当顶层犯罪团伙通常拥有顶级的运行安全(OpSec)且不会披露相关活动的详情时,打击并不总是能够保护自己的身份的下层,可以获得有助于揭露并追踪更大规模组织的数据。

声明:本文来自代码卫士,版权归作者所有。

版权归原作者所有,如若转载,请注明出处:https://www.ciocso.com/article/275.html

发表评论

登录后才能评论
跳至工具栏