BEC隨著遠程辦公地增加呈直線上升

　　從 2014 年到現在，研究人員已經確定了 170700 多個直接由尼日利亞 BEC 攻擊者發起的惡意軟件樣本，該數據集是整個網絡安全行業中最全面的 BEC 攻擊指標 （IoC） 集合。這些樣本在針對超過 226 萬次網絡釣魚攻擊中被觀察到。

　　隨著時間的推移，研究人員已采取措施從該數據集中分析攻擊趨勢，以增強網絡防御者的能力。研究人員觀察到，2014 年至 2017 年期間，Pony、LokiBot 和 AgentTesla 等信息竊取程序的使用率穩步增長。隨后，隨著工具可用性的下降，行業檢測率和攻擊者的技術技能均有所提高，近年來有所下降。因此，從 2018 年到 2020 年，研究人員見證了 RAT 的快速采用，其中最受歡迎的是 NanoCore、Adwind、Remcos、Netwire 和尼日利亞開發的 HWorm 變體，稱為 WSH RAT。

　　然而，雖然研究人員看到 SilverTerrier 攻擊者繼續穩步增長和采用 RAT，但對 2020 年到 2021 年上半年的分析發現，考慮全球生態系統對其活動的影響也很重要。在新冠疫情爆發前，每年強調新工具是有意義的，因為網絡犯罪論壇上面向攻擊者銷售的工具經常發生變化。盡管在整個大流行期間這種情況在一定程度上持續存在，但現實情況是，在過去一年半的時間里，研究人員沒有觀察到 BEC 攻擊者對新工具有任何重大功能突破。相反，研究人員的分析顯示，這些攻擊者通常選擇堅持使用具有展示能力和性能的已知工具。在此過程中，他們將注意力集中在調整和調整其傳播活動以適應不斷變化的全球環境。

　　如果從技術的角度考慮大流行的影響，許多人會覺得，全球大部分勞動力都轉向了遠程工作。根據雇主的規模和資源，員工開始利用 VPN 解決方案、雇主提供或個人計算設備以及家庭互聯網連接。這些發展極大地改變了企業網絡安全保護的應用方式，比過去十年中的發展都要大。此外，這種轉變甚至可能影響員工的風險承受能力。例如，增加對網絡釣魚電子郵件的懷疑，因為他們的工作設備現在已連接到家庭網絡。結果，BEC 攻擊者看到全球攻擊面發生了巨大變化，因此需要改變他們的傳播主題和技術。

　　在 2019 年，經常看到 BEC 攻擊者將新的惡意軟件載荷構建為可移植的可執行文件（。exe 文件），并使用具有商業主題（如發票或交貨通知）的網絡釣魚活動傳播它們。當時，微軟Office文件格式有時也會被利用，增加了一層復雜性和模糊性。開發這些文檔時最常用的兩種技術包括CVE-2017-11882的利用代碼或嵌入惡意宏。在這兩種情況下，這些文檔在打開時都旨在從在線資源中調用、下載和運行惡意載荷。然而，在研究人員 2019 年分析的所有樣本中，只有 3.5% 使用了宏，只有 3.6% 使用了 CVE-2017-11882 技術。

　　早在2020年1月，釣魚誘餌就開始使用與大流行相關的主題，隨著主題的改變，目標受眾和傳播數據包也發生了變化。雖然可移植的可執行文件仍然很流行，但研究人員觀察到 Microsoft Word 和 Excel 文檔的數量顯著增加。到今年年底，帶有嵌入式宏的Microsoft Office文檔保持在3.5%的穩定水平，但使用熟悉且文檔齊全的CVE-2017-11882的文檔攀升至13.5%。

　　幸運的是，CVE-2017-11882現在是一個存在了4年的漏洞，它的有效性和使用會隨著時間的推移而減弱，這是有道理的。相反，宏具有更持久的存在，因為它們相對容易編碼，并依賴于毫無戒心的受害者啟用它們。在回顧我們2021年上半年的遙測數據時，我們的初步發現顯示，只有很少數量的惡意軟件樣本使用了CVE技術，而69%的惡意軟件樣本現在是帶有嵌入式宏的Office文檔。

　　我們知道，新冠疫情推動了支持遠程工作的各種技術（云計算、視頻會議等）呈指數級發展。與此同時，研究人員也發現打包為 Office 文檔的惡意軟件驚人的增長曲線——從 2019 年的 7% 上升到 2020 年的 17%，再到 2021 年的 69%——值得進一步調查。深入研究后，研究人員發現，到2021年中期，打包成Office文檔的惡意軟件樣本的原始數量已經達到或遠遠超過研究人員在前幾年觀察到的年度樣本數量。因此，研究人員仍然相信該趨勢還存在很大的增長空間。

　　與此同時，研究人員認為，在2020年年中至2021年初期間，全球幾乎所有企業都修訂了其網絡安全態勢，改變了環境中的設備，重新構建了網絡流量，并加強了網絡安全政策，以支持遠程工作。在分析威脅趨勢時，必須考慮這些變化的影響。這些調整在宏觀層面結合應用，顯著改變了邊界（防火墻）和主機（端點）層面的攻擊可見性。例如，在企業工作環境中進行網絡安全分析后可能允許的附件在遠程工作環境中可能已被默認阻止。根據實施情況，此類更改將降低網絡安全公司對攻擊的可見性。因此，幾乎不可能在大流行前和大流行后的攻擊活動之間進行比較，因為整個網絡安全行業的收集態勢發生了巨大變化。研究人員將這一經驗應用于研究人員對惡意 Office 文檔的觀察，并評估研究人員 2021 年 69% 的初步調查結果可能是由于過去一年收集狀況的變化而人為夸大的。

　　緩解BEC攻擊

　　政府層面

　　2018 年，FBI 發起了第一次針對 BEC 攻擊者的全球活動，稱為“WireWire 行動”。在六個月的時間里，通過與 Palo Alto Networks、FlashPoint、國家網絡取證培訓聯盟 （NCFTA） 和其他幾個機構的密切合作，執法機構能夠逮捕全球 74 名攻擊者。一年后，聯邦調查局發起了“連線行動”（Operation Rewired），在該行動中，全球又逮捕了281名攻擊者。其中包括與EFCC密切協調在尼日利亞被捕的167人。

　　2020 年 6 月，一名名為“Hushpuppi”的尼日利亞社交媒體網紅在迪拜被捕。他隨后被聯邦調查局起訴，盜竊了超過 2400 萬美元。

　　2020 年 11 月，國際刑警組織與 NFP 一起逮捕了三名尼日利亞攻擊者，他們被指控使用 26 個不同的惡意軟件家族在 150 多個國家/地區對受害者進行 BEC 活動。

　　企業預防措施

　　1.查看網絡安全策略，企業應重點關注員工可以在連接到公司網絡的設備上下載和打開的文件類型（便攜式可執行文件、帶有宏的文檔等）。此外，應建立 URL 過濾規則以限制對以下類別域的默認訪問：新注冊、內容不足、動態 DNS、停放和惡意軟件。

　　2.定期檢查郵件服務器配置、員工郵件設置和連接日志。重點關注識別員工郵件轉發規則和識別郵件服務器的外部或異常連接。如果可能，請考慮實施地理 IP 阻止。例如，小型本地企業不需要來自外國的登錄嘗試。

　　3.進行員工培訓。常規網絡攻擊意識培訓是其中的一個組成部分；但是，組織還應考慮針對其銷售和財務組成部分進行量身定制的培訓。

　　4.每年定期進行攻擊風險評估，以測試組織控制并驗證環境中沒有發生未經授權的活動。通過定期查看郵箱規則和用戶登錄模式，這些評估可以驗證控件是否按預期運行，以及是否在整個環境中有效阻止了不需要的行為。