針對韓國數百家工業系統的APT攻擊正波及全球
一波未平一波又起,以關鍵基礎設施為主的工業企業儼然成了APT攻擊的核心靶場。
【導語】昨天,多家外媒爆出一項持續進行的工業網路間諜活動。該APT組織使用Separ惡意軟體新版本竊取敏感資料和檔案,包括工程佈局、有關工業裝置設計的專有資訊等。截至目前,已影響了至少200個系統,受害者約60%的企業為韓國工業企業。此外,泰國、中國、日本、印度尼西亞、土耳其、厄瓜多、德國、英國等多國工業企業也不同程度受到影響。
韓數百家工業企業受APT重創,持續性高階威脅已波及全球關鍵基礎設施
近日,CyberX威脅情報小組公佈了一項針對韓國工業企業的高階持續性間諜活動。據介紹,攻擊者會使用帶有惡意附件的魚叉式網路釣魚電子郵件,偽裝成PDF檔案發動攻擊。成功入侵後,攻擊者會從瀏覽器和電子郵件客戶端中竊取登入資料,還會搜尋各種型別的文件和影象。
值得注意是,一旦有關工業裝置設計的專有資訊、商業祕密、智慧財產權被竊取,輕則攻擊者會對攻擊目標進行網路偵察,發動勒索攻擊,或者將這些資訊出售給競爭對手和尋求提高其競爭地位的國家;重則攻擊者可以憑藉對IoT / ICS網路的遠端RDP訪問許可權,對該國重要且具有軍事意義的工廠佈局瞭如指掌,並可在某關鍵時刻,直接對該國的工業企業和關鍵基礎設施進行破壞性打擊。
此外,危機比我們想象的還要快。據統計,已有數百家韓國工業企業受到影響。其中,最大受害者為一家關鍵基礎設施裝置的製造商,它專為化工廠,輸電、配電設施或可再生能源行業的公司提供產品。此外,鋼鐵製造商、化工廠建設公司、管道製造商、閥門製造商、工程公司等相關企業也確認受到影響。更糟糕的是,攻擊活動已波及全球。資料顯示:泰國、中國、日本、印度尼西亞、土耳其、厄瓜多、德國、英國等多國工業系統也不同程度受到影響。
精心偽造釣魚電子郵件,為攻破工業系統費勁心機
有意思的是,研究員發現:攻擊鏈始於精心製作的網路釣魚電子郵件。這些“郵件”,不僅帶有濃郁的工業主題風,而且善用偽造RFQ(報價單)這一方式。
1. 偽造RFQ:為捷克一家發電廠的設計詢價這封釣魚郵件,不僅冒充西門子子公司的僱員傳送,郵件內容也極為詳實,包含:發電廠的示意圖、有關如何使用燃氣執行該工廠的公開技術白皮書。
此外,還有一封似乎來自歐洲某大型工程公司買方的電子郵件,該公司設計天然氣加工和生產工廠。
進一步探究攻擊“武器”,Separ惡意軟體新版本浮出水面
首先,該惡意軟體隱藏在網路釣魚電子郵件的zip檔案中。目標使用者解壓後,惡意軟體就開始“運作”起來。
具體而言,它將會竊取瀏覽器和電子郵件憑據,搜尋具有一系列副檔名的文件,包括Office文件和影象等。同時,它通過FTP將所有被洩露的資訊上傳到一個免費的虛擬主機服務(freehostia.com)。此外,該惡意軟體還將執行ipconfig命令來對映連線到受感染系統的網路介面卡,並嘗試禁用Windows防火牆。
值得注意的是,研究人員還表示:該惡意軟體會依靠自動執行功能,在系統重新啟動後繼續生存,並附帶了許多免費提供的工具:
瀏覽器密碼轉儲v6.0by SecurityXploded
電子郵件密碼轉儲v3.0 by SecurityXploded
NcFTPPut3.2.5 –免費的FTP客戶端
LaZagne專案(密碼轉儲器)
deltree(刪除資料夾)
Windows NT /2000 / XP V2.03的命令列程式檢視器/終止程式/掛起程式
MOVEit Free1.0.0.1 –安全的FTP客戶端
tricerat的睡眠工具
《西門子SPPA-T3000工控系統爆出致命漏洞且未完全修復,全球電廠或再遭劫難!》、《工控系統再迎大波瀾,伊朗APT組織將其作為重點攻擊目標》、《核電站成APT暴擊核心,官方確認:印度Kudankulam已感染朝鮮惡意軟體》等重磅新聞還歷歷在目,一場聲勢浩蕩的APT攻擊又洶湧而來且活躍進行,全球工業企業都處在安全的警戒線上,危險隨時爆發。
真可謂,一波未平一波又起,以關鍵基礎設施為主的工業企業儼然已成為APT攻擊的核心靶場。然而,報導新聞不是最終目的,最重要的是我們是希望各大工業企業能防患於未然。畢竟,威脅如十級地震一樣爆發後,我們要負擔的將是比一堆廢墟要還慘重的代價。
此外,針對如何防範此型別的攻擊,防護關鍵性工業企業免受侵擾,智庫也整理了一些建議:
1.企業員工要提高網路安全防範意識,警惕電子郵件附件中的壓縮檔案;
2.使用安全軟體檢測可疑電子郵件的安全性,也要檢測未知軟體的安全性;
3.可以採用網路分段,以限制攻擊者從IT到OT的能力;
4.可使用MFA保護遠端訪問解決方案,以防止使用被盜憑據進行未經授權的訪問;
5.設定特定於IoT / ICS的網路安全監控,以檢測對工業控制網路的可疑訪問者或未經授權的訪問者;
6.此外,工業企業相關工作者還應持續關注工業威脅情報,以便及時瞭解隨時引發的網路攻擊行為,同時,還可以將其與本公司的SIEM,監視系統等整合,以便進一步預防攻擊者的入侵。
其他資料補充:
Separ惡意軟體,最早由SonicWALL在2013年發現,今年2月,網路安全公司DeepInstinct的研究人員爆出該惡意軟體攻擊感染全球數百家企業。參考資料:
《Gangnam Industrial Style: APT組織瞄準韓國工業公司》
https://cyberx-labs.com/blog/gangnam-industrial-style-apt-campaign-targets-korean-industrial-companies/
本文為國際安全智庫作品 (微信公眾號:guoji-anquanzhiku)
如需轉載,請標註文章來源於:國際安全智庫
相關文章
- FireEye遭APT攻擊?!針對企業的APT攻擊是如何發生的?APT
- 【最全】針對工業行業的勒索攻擊調研行業
- 針對以色列和巴勒斯坦的apt式攻擊APT
- 深入剖析某國外組織針對中國企業的APT攻擊(CVE-2015-8651)APT
- 針對工業基礎設施的勒索軟體攻擊趨勢
- 研究人員報告新的針對工業基礎設施的攻擊
- APT攻擊APT
- 一起針對國內企業OA系統精心策劃的大規模釣魚攻擊事件事件
- 境外“暗駭客棧”組織對國內企業高管發起APT攻擊APT
- 南亞APT組織Bitter正在針對中國的核能機構進行網路攻擊APT
- 一例針對中國政府機構的準APT攻擊中所使用的樣本分析APT
- 對某單位的 APT 攻擊樣本分析APT
- 什麼是APT攻擊?APT攻擊有什麼主要特徵?APT特徵
- 【安全篇】APT攻擊是什麼?APT攻擊有哪些危害?APT
- APT攻擊備忘APT
- 移花接木:針對OAuth2的攻擊OAuth
- 韓國警察突擊非法使用廉價工業用電的比特幣礦工比特幣
- Kimsuky APT組織利用疫情話題針對南韓進行雙平臺的攻擊活動的分析APT
- 疑似APT組織針對多吉幣關注者進行魚叉式定向攻擊APT
- 烏克蘭空中交通管制系統受到有針對性的網路攻擊
- 科幻:Windows核心攻擊是指標對Windows作業系統核心的惡意攻擊行為Windows指標作業系統
- 【網路安全分享】APT攻擊常用的4種攻擊手段!APT
- Windows作業系統的基本攻擊方式Windows作業系統
- 對門控系統的攻擊面檢查
- 網路攻擊盯上民生領域,應對DDoS和APT攻擊,如何有效防禦?APT
- APT攻擊有何變化?APT
- 武漢大學:如何應對來自郵件的APT攻擊?APT
- 針對 VoIP 伺服器發動 DDoS 攻擊伺服器
- 再現在野0day攻擊--BITTER APT攻擊事件APT事件
- 研究人員演示對硬碟和作業系統的聲音攻擊硬碟作業系統
- 一種針對Microsoft Office的自動化攻擊方式ROS
- 張龍:國產作業系統每天遭受國外3萬多次攻擊作業系統
- 針對雲服務的勒索軟體攻擊的未來
- 拙劣至極!南亞APT組織借新冠疫情對我國醫療機構發起定向攻擊!APT
- APT組織Lorec53(洛瑞熊)發動多輪針對烏克蘭的網路攻擊活動APT
- APT34攻擊全本分析APT
- 密碼系統的攻擊密碼
- 利用Office宏及Powershell的針對性攻擊樣本分析