利用惡意工具針對工業和工程組織的攻擊

2024-09-10 23:03:10 1

    卡巴斯基實驗室全球研究和分析團隊發現了一輪最新的針對全球多個國家的工業和工程領域的針對性攻擊。網絡罪犯使用魚叉式釣魚郵件和基於商業間諜軟體工具製作的惡意軟體，竊取存儲在受害者網絡中的重要商業數據。該網絡犯罪組織成功攻擊了30個國家的130多個組織，包括西班牙、巴基斯坦、阿聯、印度、埃及、英國、德國、沙烏地阿拉伯和其他國家。

    2016年6月，卡巴斯基實驗室研究人員發現一波包含惡意附件的魚叉式釣魚郵件。這些郵件主要發送給多家公司的高層和中層管理人員。攻擊者發送的這些郵件看上去像是來自一家阿聯的銀行：郵件內容看上去是一封來自銀行的支付通知書，並且附帶一個SWIFT文檔。但是事實上，附件包含惡意軟體。

    卡巴斯基實驗室的研究人員在進行深入調查時發現，這次的魚叉式釣魚攻擊行動很可能是一個網絡犯罪組織發動的，而且卡巴斯基實驗室的研究人員從2015年3月就開始追蹤這一網絡犯罪組織。而六月份的攻擊行動似乎是他們最近進行的一次攻擊行動。

    附件中包含的惡意軟體是基於HawkEye商業間諜軟體製作的，這種間諜軟體在暗網上被公開銷售，能夠為攻擊者提供多種工具。一旦安裝到受害者計算機上，惡意軟體會從計算機上收集以下數據：

    · 擊鍵記錄

    · 剪貼板數據

    · FTP伺服器登陸憑證

    · 瀏覽器中的帳戶數據

    · 即時通訊客戶端中的帳戶數據（包括Paltalk、Google Tak、AIM… …）

    · 郵件客戶端中的帳戶數據（包括Outlook、Windows Live mail… …）

    · 有關計算機上安裝的應用程式信息（Microsoft Office）

    之後，將這些數據發送到網絡罪犯的命令和控制伺服器。基於對某些命令和控制伺服器設置sinkhole獲取到的信息，大多數受害者均為工業和工程領域的企業或組織，其他受影響行業還包括航運業、製藥業、製造業、貿易公司、教育機構和其他類型實體。

    這些企業都存在有價值的信息，可以被用來在黑市上銷售。所以，網絡罪犯發動食屍鬼攻擊行動的主要動機是獲取利潤。

    卡巴斯基實驗室的研究人員將這次的攻擊行動命名為食屍鬼攻擊行動。而且根據卡巴斯基實驗室研究，這次的攻擊行動只是該網絡犯罪組織所控制的多個攻擊行動中的一個。目前，該網絡犯罪組織仍然活躍。

    卡巴斯基實驗室安全專家Mohammad Amin Hasbini表示:「在古老的民間傳說中，食屍鬼是一種吃人和獵殺小孩的惡靈，原本是一種美索不達米亞惡魔。今天，這一詞彙有時候用來指代哪些貪婪或追求物質利益的人。這一描述對於食屍鬼行動幕後的網絡罪犯組織非常準確。他們發動攻擊的主要動機是通過銷售被盜的智慧財產權信息或商業情報或通過攻擊受害者的銀行帳戶獲取經濟利益。同得到政府支持的攻擊組織不同，這類攻擊組織不會仔細挑選被攻擊目標，而是同很多類似的攻擊組織一樣，針對任何企業發動攻擊。儘管他們使用相對簡單的惡意工具，但是攻擊效果顯著。如果企業沒有做好應對準備，就會成為這些攻擊的受害者。」

    為了保護企業應對食屍鬼攻擊行動和其他類似的威脅，卡巴斯基實驗室研究人員建議企業採取以下措施：

    · 對員工進行教育，讓他們可以分辨魚叉式釣魚郵件，或者能夠區分釣魚連結以及正常的郵件和連結

    · 使用可靠的企業級安全解決方案，結合反針對性攻擊解決方案，能夠通過分析網絡中出現的異常攔截攻擊

    · 為企業的安全人員提供最新的威脅情報數據，為他們裝備能夠抵禦和發現針對性攻擊的工具，例如了解感染跡象和YARA規則

    卡巴斯基實驗室的安全產品將食屍鬼行動所使用的惡意軟體檢測為：

    · Trojan.MSIL.ShopBot.ww

    · Trojan.Win32.Fsysna.dfah

    · Trojan.Win32.Generic