一张图说清各网络犯罪组织之间的关联

admin 2021年3月2日01:30:50评论206 views字数 2593阅读8分38秒阅读模式

一张图说清各网络犯罪组织之间的关联


网络安全报告通常都认为威胁组织及其恶意软件/hacking 活动之间是独立存在的,但实际上网络犯罪生态系统要小得多而且它们之间的联系要比外行想象得更为紧密。


网络犯罪组织通常具有复杂得供应链,和真正得软件企业无异,而且它们定期和其它电子犯罪生态系统开发联系以获得对执行攻击或将利益最大化至关重要得关键技术。


网络安全公司 CrowdStrike 分析指出,这些第三方技术可分为三类:服务、发行和变现


服务类通常包括:


  • 访问经纪人:攻陷企业网络并将企业内网的访问权限卖给其它团伙的威胁行动者。

  • DDoS 攻击工具:也被称为“DDoS 引导程序“或”DDoS 雇佣“,这些组织提供的是对基于 Web 的门户访问权限,任何人均可发动 DDoS 攻击。

  • 匿名和加密:出售非公开代理和 VPN 网络访问权限的组织,便于黑客伪装自己的位置及攻击来源。

  • 钓鱼包:这类组织负责创建并维护钓鱼包、用于自动化执行钓鱼攻击的 Web 工具以及收集被钓鱼的凭据。

  • 硬件卖家:出售自定义硬件如 ATM skimmer、网络嗅探设备等的组织。

  • 勒索软件:也被称为“勒索软件即服务“或 “RaaS”,这些组织出售勒索软件或基于 Web 的面板(以便攻击者可构建自己的定制化勒索软件)的访问权限。

  • 犯罪即服务:类似于 RaaS,但这些组织提供对银行木马或其它类型恶意软件的访问权限。

  • 加载器:也被称为“僵尸装置“,这类组织已经通过自有恶意软件感染了计算机、智能手机和服务器,并主动提供在同样系统上“加载/安装”其它组织的恶意软件的服务,以便其它组织能够通过勒索软件、银行木马、信息窃取工具等进行变现。

  • 反病毒服务/检查工具:它们是非公开的 Web 门户,方便恶意软件运维上传样本并在现代反病毒系统引擎上进行测试,而无需担心和反病毒厂商共享恶意软件的检测。

  • 恶意软件封装服务:基于 Web 或桌面的工具,供恶意软件开发人员抢占恶意软件代码,使反病毒软件难以检测。

  • 信用卡/储蓄卡测试服务:这些工具能让黑客测试所获取的支付卡号的格式是否有效以及卡是否在有效期。

  • Webinject 工具包这些特制工具,通常和银行木马结合使用,使银行木马团伙能够在受害者访问电子银行或其它站点时将恶意代码插入受害者浏览器中。

  • 托管&基础设施:也被称为“防弹”托管提供商,其名称已说明一切,即专门向犯罪团伙提供非公开的 Web 托管基础设施。

  • 具有犯罪目标的招聘:这些组织专门招聘、贿赂或诱骗普通公民参与网络犯罪活动(如有人前往美国试图贿赂一名特斯拉员工,在公司内网运行恶意工具)。


发行服务通常包括:


  • 在社交网络或即时通讯应用上运行垃圾邮件活动的组织

  • 专注于垃圾邮件发行的组织

  • 开发并出售利用包的组织

  • 从被黑站点购买流量并传播到恶意网页(通常托管利用包、技术支持诈骗、金融诈骗、钓鱼包等)的组织


变现类别通常包括:


  • 钱骡服务:实际现身并从被黑 ATM 机取款并存到自己银行账户,之后转给黑客的组织,他们偏向洗钱或转运欺诈服务。

  • 洗钱:这些组织通常运行空壳企业网络,借此从被黑的银行账户、ATM 现金取款或盗窃密币,偷盗资金。某些洗钱服务同时还在暗网运行比特币混合服务。

  • 转运欺诈网络:这些组织拿走被盗资金、购买真实产品、将产品运送到其它国家。这些产品通常是豪车、电子产品或珠宝,之后被转售得到干净的钱财而转到黑客名下。

  • 转储商店:这些组织通过特殊网站和社交媒体渠道出售被黑企业的数据。

  • 勒索支付和敲诈勒索:专注于勒索受害者,可能由手握被盗数据的其它犯罪团伙实施。

  • 支付卡信息收集和出售:也被称为卡商店,通常是网络犯罪团伙出售被盗支付卡数据的论坛。

  • 密币服务:一种洗钱服务,提供“混合”被盗钱财的服务并帮助黑客掩盖被盗资金痕迹。

  • 远程诈骗:专门从事远程欺诈如 BEC 欺诈行为的组织。


一张图说清各网络犯罪组织之间的关联


由于当前加密通信信道的缘故,如今追踪各组织及其供应商之间的关联以及他们的协作活动几乎不可能办到。然而,在恶意软件攻击领域,还是可以通过恶意软件从攻击者流向受感染主机的方式中看到某些合作痕迹。


尽管这些关联可能永远无法完全得到证实,但还是可以发现 Emotet 恶意软件下载 TrickBot 恶意软件是 Emotet 团伙为 TrickBot 团伙提供的“加载器”机制。


CrowdStrike 公司在2021年全球威胁报告中首次概述了地下网络犯罪各种电子犯罪操纵人员当前的某些关联。由于该公司为电子犯罪团伙进行了命名,因此某些组织听起来似乎和之前我们知晓的组织不同。不过,该公司也提供了一个交互式指标(https://adversary.crowdstrike.com/),可供我们全面了解这些名称。


一张图说清各网络犯罪组织之间的关联


这张图表示,促成者在网络入侵活动中发挥的作用和实施入侵活动的组织一样重要。


上个月,Chainalysis 在另一份报告中指出,执法机构如果能够针对这些共享的服务供应商发起行动,那么在打压网络犯罪活动方面会取得更好的结果,因为可以一举拿下更多犯罪组织。另外还存在诸多好处。例如,当顶层犯罪团伙通常拥有顶级的运行安全(OpSec)且不会披露相关活动的详情时,打击并不总是能够保护自己的身份的下层,可以获得有助于揭露并追踪更大规模组织的数据。


原文链接:https://www.zdnet.com/article/this-chart-shows-the-connections-between-cybercrime-groups/

转自:代码卫士



本文资讯内容来源于互联网,版权归作者所有,如有侵权,请留言告知,我们将尽快处理。

一张图说清各网络犯罪组织之间的关联
安全帮®大讲堂经典回顾


大讲堂—浅析《信息安全保障》

大讲堂—速读《网络安全法》

大讲堂—分布式流处理平台:KAFKA

大讲堂—网络协议安全,这些你不可不知

大讲堂—当威胁检测技术跟上了AI的脚步

大讲堂—企业求生之道:如何有效进行安全风险管理

大讲堂—逆向分析技术知多少?

大讲堂—关于Spark的那些事

大讲堂—浅析Hadoop!

大讲堂—MyBatis简介与入门

大讲堂—LSTM算法原理及应用

一张图说清各网络犯罪组织之间的关联


关于安全帮®


安全帮®,是中国电信研究院安全工程研究中心旗下安全团队,致力于成为“SaaS安全服务领导者”。目前拥有“1+4”产品体系:一个SaaS电商(www.anquanbang.vip) 、四个平台(SDS软件定义安全平台、安全能力开放平台、安全大数据平台、安全态势感知平台)。

联系方式:微信公众号留言或联系客服QQ3025437891




一张图说清各网络犯罪组织之间的关联

本文始发于微信公众号(安全帮):一张图说清各网络犯罪组织之间的关联

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年3月2日01:30:50
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   一张图说清各网络犯罪组织之间的关联http://cn-sec.com/archives/277909.html

发表评论

匿名网友 填写信息