針對韓國數百家工業系統的APT攻擊正波及全球

國際安全智庫發表於2019-12-19

一波未平一波又起,以關鍵基礎設施為主的工業企業儼然成了APT攻擊的核心靶場。


【導語】昨天,多家外媒爆出一項持續進行的工業網路間諜活動。該APT組織使用Separ惡意軟體新版本竊取敏感資料和檔案,包括工程佈局、有關工業裝置設計的專有資訊等。截至目前,已影響了至少200個系統,受害者約60%的企業為韓國工業企業。此外,泰國、中國、日本、印度尼西亞、土耳其、厄瓜多、德國、英國等多國工業企業也不同程度受到影響。


韓數百家工業企業受APT重創,持續性高階威脅已波及全球關鍵基礎設施


近日,CyberX威脅情報小組公佈了一項針對韓國工業企業的高階持續性間諜活動。據介紹,攻擊者會使用帶有惡意附件的魚叉式網路釣魚電子郵件,偽裝成PDF檔案發動攻擊。成功入侵後,攻擊者會從瀏覽器和電子郵件客戶端中竊取登入資料,還會搜尋各種型別的文件和影像。

值得注意是,一旦有關工業裝置設計的專有資訊、商業秘密、智慧財產權被竊取,輕則攻擊者會對攻擊目標進行網路偵察,發動勒索攻擊,或者將這些資訊出售給競爭對手和尋求提高其競爭地位的國家;重則攻擊者可以憑藉對IoT / ICS網路的遠端RDP訪問許可權,對該國重要且具有軍事意義的工廠佈局瞭如指掌,並可在某關鍵時刻,直接對該國的工業企業和關鍵基礎設施進行破壞性打擊。

此外,危機比我們想象的還要快。據統計,已有數百家韓國工業企業受到影響。其中,最大受害者為一家關鍵基礎設施裝置的製造商,它專為化工廠,輸電、配電設施或可再生能源行業的公司提供產品。此外,鋼鐵製造商、化工廠建設公司、管道製造商、閥門製造商、工程公司等相關企業也確認受到影響。更糟糕的是,攻擊活動已波及全球。資料顯示:泰國、中國、日本、印度尼西亞、土耳其、厄瓜多、德國、英國等多國工業系統也不同程度受到影響。

針對韓國數百家工業系統的APT攻擊正波及全球


精心偽造釣魚電子郵件,為攻破工業系統費勁心機


有意思的是,研究員發現:攻擊鏈始於精心製作的網路釣魚電子郵件。這些“郵件”,不僅帶有濃郁的工業主題風,而且善用偽造RFQ(報價單)這一方式。

1. 偽造RFQ:為捷克一家發電廠的設計詢價這封釣魚郵件,不僅冒充西門子子公司的僱員傳送,郵件內容也極為詳實,包含:發電廠的示意圖、有關如何使用燃氣執行該工廠的公開技術白皮書。

針對韓國數百家工業系統的APT攻擊正波及全球

2. 偽造RFQ:用於設計印尼的一家燃煤電廠在這份偽造的RFD中,攻擊者假裝是日本一家大型工程企業集團的子公司,並表達出其了在印尼建造燃煤電廠的興趣,此外,為了增加合法性,該電子郵件還提供了關於其公司對外介紹的資訊資料(附件中的PDF檔案)。

針對韓國數百家工業系統的APT攻擊正波及全球

此外,還有一封似乎來自歐洲某大型工程公司買方的電子郵件,該公司設計天然氣加工和生產工廠。

進一步探究攻擊“武器”,Separ惡意軟體新版本浮出水面


進一步探究中,研究員發現:該APT組織使用了Separ惡意軟體的新版本。其具體攻擊流程如下:

首先,該惡意軟體隱藏在網路釣魚電子郵件的zip檔案中。目標使用者解壓後,惡意軟體就開始“運作”起來。

具體而言,它將會竊取瀏覽器和電子郵件憑據,搜尋具有一系列副檔名的文件,包括Office文件和影像等。同時,它透過FTP將所有被洩露的資訊上傳到一個免費的虛擬主機服務(freehostia.com)。此外,該惡意軟體還將執行ipconfig命令來對映連線到受感染系統的網路介面卡,並嘗試禁用Windows防火牆。

針對韓國數百家工業系統的APT攻擊正波及全球

值得注意的是,研究人員還表示:該惡意軟體會依靠自動執行功能,在系統重新啟動後繼續生存,並附帶了許多免費提供的工具:

瀏覽器密碼轉儲v6.0by SecurityXploded

電子郵件密碼轉儲v3.0 by SecurityXploded

NcFTPPut3.2.5 –免費的FTP客戶端

LaZagne專案(密碼轉儲器)

deltree(刪除資料夾)

Windows NT /2000 / XP V2.03的命令列程式檢視器/終止程式/掛起程式

MOVEit Free1.0.0.1 –安全的FTP客戶端

tricerat的睡眠工具


《西門子SPPA-T3000工控系統爆出致命漏洞且未完全修復,全球電廠或再遭劫難!》《工控系統再迎大波瀾,伊朗APT組織將其作為重點攻擊目標》《核電站成APT暴擊核心,官方確認:印度Kudankulam已感染朝鮮惡意軟體》等重磅新聞還歷歷在目,一場聲勢浩蕩的APT攻擊又洶湧而來且活躍進行,全球工業企業都處在安全的警戒線上,危險隨時爆發。


真可謂,一波未平一波又起,以關鍵基礎設施為主的工業企業儼然已成為APT攻擊的核心靶場。然而,報導新聞不是最終目的,最重要的是我們是希望各大工業企業能防患於未然。畢竟,威脅如十級地震一樣爆發後,我們要負擔的將是比一堆廢墟要還慘重的代價。

此外,針對如何防範此型別的攻擊,防護關鍵性工業企業免受侵擾,智庫也整理了一些建議:

1.企業員工要提高網路安全防範意識,警惕電子郵件附件中的壓縮檔案;
2.使用安全軟體檢測可疑電子郵件的安全性,也要檢測未知軟體的安全性;
3.可以採用網路分段,以限制攻擊者從IT到OT的能力;
4.可使用MFA保護遠端訪問解決方案,以防止使用被盜憑據進行未經授權的訪問;
5.設定特定於IoT / ICS的網路安全監控,以檢測對工業控制網路的可疑訪問者或未經授權的訪問者;
6.此外,工業企業相關工作者還應持續關注工業威脅情報,以便及時瞭解隨時引發的網路攻擊行為,同時,還可以將其與本公司的SIEM,監視系統等整合,以便進一步預防攻擊者的入侵。

其他資料補充:

Separ惡意軟體,最早由SonicWALL在2013年發現,今年2月,網路安全公司DeepInstinct的研究人員爆出該惡意軟體攻擊感染全球數百家企業。

參考資料:

《Gangnam Industrial Style: APT組織瞄準韓國工業公司》
https://cyberx-labs.com/blog/gangnam-industrial-style-apt-campaign-targets-korean-industrial-companies/


本文為國際安全智庫作品 (微信公眾號:guoji-anquanzhiku)

如需轉載,請標註文章來源於:國際安全智庫


針對韓國數百家工業系統的APT攻擊正波及全球

相關文章