从事件到洞察：解析B2B商业邮件欺诈（BEC）场景

Trend Micro™托管式扩展检测与响应（Managed XDR）团队协助调查了一起B2B商业邮件欺诈（BEC）攻击，揭示了威胁行为者通过被入侵的服务器编织的复杂网络，在数天内诱使三家商业伙伴陷入骗局。本文包含调查洞察、推测的事件时间线以及推荐的安全实践。

关键要点

• 我们近期调查了一起B2B BEC攻击。这种更高级的BEC变体涉及精心设计的方案，操纵多个实体。
• 事件中，威胁行为者利用被入侵的邮件服务器发送欺诈邮件。
• 根据收集的细节，我们构建了推测的事件时间线，显示整个操作持续数天。
• 我们还识别了此场景中使用的MITRE ATT&CK技术，以及可实施的额外安全控制措施。
• 本文提供建议，帮助组织主动保护系统并减轻B2B BEC攻击的风险。

当组织遭受商业邮件欺诈（BEC）时，单封邮件可能导致重大财务损失。采用此类手法的威胁行为者可能使用从简单到高级的不同技术，且每年活动增加。

最近的调查并非典型的BEC场景，即威胁行为者仅发送欺诈邮件以欺骗受害者。相反，此B2B BEC方案涉及滥用商业伙伴之间的隐含信任，由威胁行为者在数天内耐心编织。

事件的主要组成部分包括：

• 三家商业伙伴（伙伴A、伙伴B和伙伴C）通过邮件交换业务交易
• 被入侵的邮件服务器用于发送BEC邮件，由威胁行为者控制
• 威胁行为者，对三家商业伙伴之间的所有邮件对话具有完全可见性

在此入侵中，利用了多种方法，包括获取各种邮件账户的访问权限，类似于账户接管（ATO）。分析整个邮件入侵需要查看所有方的相同邮件的多个副本，强调分析此类事件的复杂性，因为部分分析（一组发件人/收件人）无法提供完整邮件流的全貌。

继续阅读以了解更多关于推测的事件时间线、我们的建议以使此类入侵更难实现，以及一些有助于检测和减轻此类攻击的想法，以防您的组织遭受攻击。

事件时间线

当托管式XDR团队被要求协助调查此B2B BEC事件时，我们分析了通过Trend Vision One™收集的Trend Micro邮件传感器的遥测数据，以及从多个用户（邮件对话的发件人和收件人）导出的邮件头。这些有助于重建事件的某些关键细节。入侵分为两个阶段，如下所示：

图1. 攻击阶段1 - 威胁行为者插入自身到邮件链中

（图1描述：威胁行为者通过被入侵的第三方邮件服务器发送邮件，插入到伙伴A和伙伴B的对话中，提供更新的（欺诈的）银行信息。）

由于仅伙伴B从我们端可见，接管对话不同部分的初始入侵可能发生在我们可见性之外。此外，第三方邮件服务器由另一合法组织拥有，虽然它不是邮件对话的一部分，但被用于发送BEC邮件。

整个对话值得注意的是，威胁行为者似乎对三家商业伙伴之间的所有邮件交换具有可见性。事实上，在步骤2和步骤3之间，我们找到了证据表明，威胁行为者再次发送相同邮件的原因是伙伴B的邮件系统拒绝了威胁行为者通过被入侵的第三方邮件服务器发送的初始邮件。

另一个重要方面是，威胁行为者等待约4.5小时后才开始将自己定位到邮件对话中。伙伴B的收件人在当天晚些时候收到邮件，假设伙伴A发现了其初始银行的问题。威胁行为者没有从初始邮件发送新的（和欺诈的）银行信息（这会引起担忧），而是等待建立对话线。然而，步骤2和步骤3中的邮件都包含伙伴A的更新电汇指令，要求伙伴B的收件人将钱发送到欺诈账户。

图2. 攻击阶段2 - 威胁行为者已接管对话

（图2描述：威胁行为者完全插入自身以分离两家公司之间的对话，逐步将收件人替换为他们可控制的邮件账户，同时模仿真实发件人的写作风格。）

在第二阶段，威胁行为者已完全插入自身以分离两家公司之间的对话。需要注意的是，此运行邮件线程中有约4-6名收件人，威胁行为者逐渐将收件人替换为他们可控制的邮件账户。

为了显得合法，邮件的“发件人”字段包含伙伴A或伙伴B的预期收件人，但“回复至”仍然是威胁行为者的邮件地址——对于发送给伙伴A和伙伴B以及伙伴C的邮件都是如此。至于邮件内容，威胁行为者模仿伙伴A或伙伴B，利用相同的写作风格（称呼、邮件页脚和措辞选择），通常保持简短。

多封BEC邮件通过第三方邮件服务器发送。所述服务器似乎配置不安全，导致邮件通过发件人策略框架（SPF）认证。这是由于第三方邮件服务器的初始配置错误，还是威胁行为者有能力入侵邮件服务器配置，尚不清楚。

此时，威胁行为者然后向伙伴B确认伙伴A共享的细节，修改信息以包含第一阶段更新的（和欺诈的）银行信息。然而，伙伴A和伙伴B认为他们正在与正确的邮件收件人交谈。这导致伙伴B最终将资金存入威胁行为者的银行账户。

该方案看起来有计划且故意，如下时间线所示：

在此时间线结束时，伙伴A在发票初始提醒约12天后提示伙伴B确认转账。届时，资金已完全转移给威胁行为者。

还应注意，伙伴A和伙伴B的收件人仍在相互发送邮件，与此邮件线程分开对话。对于大多数邮件客户端，如果最终用户曾回复过该邮件地址，自动完成的邮件地址会被填充。因此，威胁行为者有选择地将自动完成的邮件地址替换为真实和预期的收件人，以便对话自然进行。

我们统计了约5个其他邮件线程，超出初始发票（资金被转移处），其中原始发件人来自伙伴A或伙伴B，正在发送邮件到威胁行为者控制的邮件地址，但“真实”和预期的邮件收件人稍后会收到邮件。但再次，由于伙伴A、伙伴B和伙伴C是预期的邮件发件人和收件人，所有方看到的是邮件对话在流动。

这可以避免吗？不完全，但可以使其更难实现。

在我们解决这个问题之前，让我们通过MITRE ATT&CK技术查看此事件：

• 拥有各种邮件收集手段（T1114）的目标，威胁行为者会在目标组织内发生此类对话时被告知此类机会。
• 虽然在此事件中未直接确认，但一种非常常见的方式是接管有效域账户（T1078），然后利用某种形式的邮件转发规则（T1114.003）。

为了进一步促进邮件发送，威胁行为者还入侵了第三方邮件服务器（T1584.004），该服务器限制很少或没有。被入侵的邮件服务器也是一个合法组织，因此一切看起来合法，但它对出站邮件的控制很少。

邮件账户设置为模仿邮件登录——例如，不是user1[@] partnerA.com，而是使用user1[@] free-email-domain.com。这些先前基于威胁行为者对涉及此事件的每个实体的知识建立（T1585.002），因为他们能够为伙伴A、伙伴B和伙伴C的不同个人创建各种邮件地址，设置此类邮件地址的显示名称以模仿真实个人。

威胁行为者利用所有方之间的信任关系（T1199），并严重依赖此关系在整个B2B BEC事件中预先存在。

结果是财务盗窃（T1657），对于被入侵邮件服务器的所有者，资源劫持（T1496）。

考虑到多个方面，单个组织只能在其有影响的环境内实施控制。然而，对于单个组织，查看使威胁行为者更难成功发起B2B BEC的方法将是有利的。

以下建议主要适用于您的组织以类似方式成为目标的情况：

1. 与您的邮件安全供应商检查实施额外的邮件安全控制，如DMARC（基于域的消息认证、报告和一致性）、DKIM（域名密钥识别邮件）和SPF（发件人策略框架）

在此事件中，威胁行为者创建的邮件有明显迹象表明这些邮件未通过这些检查：

1
2
3
4

ARC-Authentication-Results: i=2; mx.microsoft.com 1; spf=softfail (sender ip is 11.22.33.44) smtp.rcpttodomain=PartnerA.com smtp.mailfrom=PartnerB.com; dmarc=fail (p=none sp=none pct=100) action=none header.from=PartnerB.com; dkim=none (message not signed); arc=pass (0 oda=0 ltdi=0 93)
ARC-Authentication-Results: i=1; rspamd-587694846-cqc8b; auth=pass smtp.auth=spamcontrol26 smtp.mailfrom=finance-person@PartnerB.com
Authentication-Results: spf=softfail (sender IP is xx.yy.aa.bb) smtp.mailfrom=PartnerB.com; dkim=none (message not signed) header.d=none;dmarc=fail action=none header.from=PartnerB.com;compauth=other reason=501
Received-SPF: SoftFail (protection.outlook.com: domain of transitioning PartnerB.com discourages use of xx.yy.aa.bb as permitted sender)

但由于未通过验证的邮件的DMARC策略设置为“action=none”，此类邮件仅被授予通过并到达伙伴A的邮箱。严格的DMARC策略在此情况下会有所帮助，因为这些邮件不会通过验证，或者至少邮件应在主题行中标记为[垃圾邮件]或[可疑]并交付到垃圾邮件或垃圾文件夹。

为所有邮件域全局设置此策略应与业务利益相关者讨论，因为它将影响从域名发送的邮件的可交付性。然而，在此情况下对于B2B交易，两家组织可能同意对涉及货币交易的邮件对话实施此类邮件控制。

2. 考虑对邮件进行数字签名，特别是在通过邮件进行金融交易的个人之间

威胁行为者通过被入侵的邮件服务器发送的邮件具有以下邮件头：

1
2
3
4
5

Received: by webmail.emailsrvr.tld (Authenticated sender: compromised-account@compromised.email.server, from: finance-person[@]PartnerB.com) with HTTP
Authentication-Results: spf=pass (sender IP is xx.yy.aa.bb) smtp.mailfrom=compromised.email.server; dkim=none (message not signed) header.d=none;dmarc=fail action=none header.from=PartnerB.com;compauth=fail reason=001
Received-SPF: Pass (protection.outlook.com: domain of compromised.email.server designates xx.yy.aa.bb as permitted sender) receiver=protection.outlook.com; client-ip=xx.yy.aa.bb; helo=smtp116.sub.emailsrvr.tld; pr=C
X-Auth-ID: compromised-account@compromised.email.server
Reply-To: finance-person[@]free-email-domain.com

从上面的头中明显看出，邮件通过了SPF，即使发件人未使用其指定的邮件地址并具有不同的回复至。

上述DMARC设置会类似地有所帮助。另一可考虑的措施是使用邮件数字签名，增强邮件对话的机密性和完整性。这将验证邮件发件人的真实性，同时确保邮件未从其原始形式更改。

结合最佳实践，如为网络和审计登录启用多因素认证（MFA），带有数字签名的邮件将使制作声称来自某人的消息变得困难，当它实际上从另一来源发送时。

再次，为公司范围和所有邮件域全局设置此策略可能是个好主意，但这应与业务利益相关者讨论。对于B2B交易，伙伴组织可能强制执行此类邮件控制以确保邮件未被篡改，并且来自具有正确和有效数字签名的邮件账户。

3. 对特定个人扩展审计，特别是那些通过邮件进行金融交易的人

B2B BEC甚至通常BEC的有利可图目标是组织的高调成员。因此，扩展监控和警报可能是合理的。根据您的安全工具的能力，以下警报用例可能可行：

• MFA已被禁用
• 登录平台中的异常事件（如不可能旅行）
• 监控可疑活动，如未经提示创建转发规则，因为这是BEC操作中观察到的早期指标之一

组织可以与其邮件服务或安全供应商检查BEC用例、ATO监控或类似活动，如身份保护，并要求他们为公司优先处理此问题。

4. 为这些高调用户目标特定教育和流程

由于此情况下被利用的因素之一是两家或更多组织内某些个人之间的隐含信任，这些高调用户可能受到另一子集教育和培训。组织可以进行网络钓鱼培训，并针对高调用户进行B2B BEC类型模拟。这将使他们更加警惕，而不是仅仅信任收件箱中出现的名称，嵌入审查邮件指令的做法，这些指令提到发送资金的账户变更。

在本文讨论的事件中，邮件线程中包含在不同伙伴组织之间的多个邮件地址被替换为基于免费邮件服务的其他地址。虽然用户可以理解地难以注意到任何异常，但仍然有助于注意此类可疑变更，特别是当邮件请求资金转移时。

5. 在您的伙伴之间建立验证协议

分析事件时间线，如果有一种方式在第一天，即威胁行为者发送指令后几分钟内通过其他方式确认发件人身份，则验证指令是可能的。例如，如果伙伴B和伙伴A之间达成协议通过视频/电话呼叫验证邮件交易，那么指令可以当场双重检查。

如MITRE的M1060指南所述，通过实施安全带外通信通道，这些独立于可能被入侵网络的替代路径可能有助于确保关键通信的连续性和安全性，减少对手在攻击发生时拦截或篡改敏感数据的风险。如今存在各种形式，如加密消息应用、安全电话线等。

它也可能是过程控制，由此账户变更需要事先验证真实性——例如，在发送影响金融交易的指令邮件之前，它需要比仅仅邮件更多的东西。因此，如果邮件指令到达要求变更银行信息，这会引发警报，因为技术上它们违反了预先约定的过程。

6. 狩猎邮件以查找过程违规， among高调个人

至少在组织内部执行，应强制执行和监控标准过程。考虑此示例：

1
2
3
4
5
6

发件人：invoicing[@]partner_organizationA.com
收件人：accounts_payable[@]partner_organizationB.com
主题：来自<伙伴组织>的发票 - 参考票号
邮件特征：
- 配置了SPF和DKIM
- 强制执行DMARC，带有永久阻止

如果那是预先约定的标准，那么如果它落在这些参数之外，可以创建警报逻辑。对于使用Trend Micro邮件传感器的Trend Vision One，可以使用此逻辑设置警报规则：

1

(mailFromAddresses: invoicing[@]partner_organizationA.com OR mailToAddresses: accounts_payable[@]partner_organizationB.com) AND (mailMsgSubject:Invoice) AND (mailWantedHeaderValue:dmarc=fail OR mailWantedHeaderValue:dkim=none) AND (mailDirection:3)

此狩猎规则可以根据要求扩展或更改，但它将查找：

• 任何入站邮件，
• 来自invoicing[@]partner_organizationA.com或 destined for accounts_payable[@]partner_organizationB.com，
• 具有预先约定的邮件主题，以及
• 邮件的特征——如SPF、DKIM或DMARC——违反两家组织之间的业务规则。

更多狩猎查询可用于启用威胁洞察权限的Trend Vision One客户。

结论

如果成功，在正确时间执行的商业邮件欺诈（BEC）对组织来说代价高昂。然而，很可能组织实施的现有技术可能已经具有某些邮件保护功能，可以帮助限制此类攻击的有效性。因此，鼓励企业在评估适当的网络安全措施时，与他们的邮件服务提供商和邮件安全供应商一起，同时意识到正常的业务实践——即使在可信的商业伙伴之间。

例如，实施适当的DMARC设置可以是最小化BEC成功的重要保障。但重要的是要注意，虽然技术非常有效，但它只是更广泛安全框架的一部分。具体来说，DMARC建立在SPF和域名密钥识别邮件（DKIM）之上，这些也是行业团体如M3AAWG推荐并由Google认可的核心最佳实践。然而，希望实施DMARC的组织可能由于其复杂性而面临挑战。在这种情况下，组织与他们的邮件、消息和协作供应商合作以确保正确配置和集成至关重要。

使用诸如BIMI之类的规范也可能有助于在通过DMARC验证的邮件上显示组织的品牌徽标。这有助于收件人区分来自可信来源的合法邮件与来自未认证资源的消息。

主动安全与Trend Vision One

Trend Vision One是一个企业网络安全平台，通过整合多个安全功能、实现对