近日,CyberX威脅情報小組公佈了一項針對韓國工業企業的高級持續性間諜活動。據介紹,攻擊者會使用帶有惡意附件的魚叉式網絡釣魚電子郵件,偽裝成PDF文件發動攻擊。成功入侵後,攻擊者會從瀏覽器和電子郵件客戶端中竊取登錄數據,還會搜尋各種類型的文檔和圖像。
值得注意是,一旦有關工業設備設計的專有信息、商業秘密、知識產權被竊取,輕則攻擊者會對攻擊目標進行網絡偵察,發動勒索攻擊,或者將這些信息出售給競爭對手和尋求提高其競爭地位的國家;重則攻擊者可以憑藉對IoT / ICS網絡的遠程RDP訪問權限,對該國重要且具有軍事意義的工廠佈局瞭如指掌,並可在某關鍵時刻,直接對該國的工業企業和關鍵基礎設施進行破壞性打擊。
此外,危機比我們想象的還要快。據統計,已有數百家韓國工業企業受到影響。其中,最大受害者為一家關鍵基礎設施設備的製造商,它專為化工廠,輸電、配電設施或可再生能源行業的公司提供產品。此外,鋼鐵製造商、化工廠建設公司、管道製造商、閥門製造商、工程公司等相關企業也確認受到影響。
更糟糕的是,攻擊活動已波及全球。數據顯示:泰國、中國、日本、印度尼西亞、土耳其、厄瓜多爾、德國、英國等多國工業系統也不同程度受到影響。
精心偽造釣魚電子郵件,為攻破工業系統費勁心機
有意思的是,研究員發現:攻擊鏈始於精心製作的網絡釣魚電子郵件。這些“郵件”,不僅帶有濃郁的工業主題風,而且善用偽造RFQ(報價單)這一方式。
1. 偽造RFQ:為捷克一家發電廠的設計詢價
這封釣魚郵件,不僅冒充西門子子公司的僱員發送,郵件內容也極為詳實,包含:發電廠的示意圖、有關如何使用燃氣運行該工廠的公開技術白皮書。
2. 偽造RFQ:用於設計印尼的一家燃煤電廠
在這份偽造的RFD中,攻擊者假裝是日本一家大型工程企業集團的子公司,並表達出其了在印尼建造燃煤電廠的興趣,此外,為了增加合法性,該電子郵件還提供了關於其公司對外介紹的信息資料(附件中的PDF文件)。
此外,還有一封似乎來自歐洲某大型工程公司買方的電子郵件,該公司設計天然氣加工和生產工廠。
進一步探究攻擊“武器”,Separ惡意軟件新版本浮出水面
進一步探究中,研究員發現:該APT組織使用了Separ惡意軟件的新版本。其具體攻擊流程如下:
首先,該惡意軟件隱藏在網絡釣魚電子郵件的zip文件中。目標用戶解壓後,惡意軟件就開始“運作”起來。
具體而言,它將會竊取瀏覽器和電子郵件憑據,搜索具有一系列擴展名的文檔,包括Office文檔和圖像等。同時,它通過FTP將所有被洩露的信息上傳到一個免費的虛擬主機服務(freehostia.com)。此外,該惡意軟件還將運行ipconfig命令來映射連接到受感染系統的網絡適配器,並嘗試禁用Windows防火牆。
值得注意的是,研究人員還表示:該惡意軟件會依靠自動運行功能,在系統重新啟動後繼續生存,並附帶了許多免費提供的工具:
- 瀏覽器密碼轉儲v6.0by SecurityXploded
- 電子郵件密碼轉儲v3.0 by SecurityXploded
- NcFTPPut3.2.5 –免費的FTP客戶端
- LaZagne項目(密碼轉儲器)
- deltree(刪除文件夾)
- Windows NT /2000 / XP V2.03的命令行進程查看器/終止進程/掛起程序
- MOVEit Free1.0.0.1 –安全的FTP客戶端
- tricerat的睡眠工具
《西門子SPPA-T3000工控系統爆出致命漏洞且未完全修復,全球電廠或再遭劫難!》、《工控系統再迎大波瀾,伊朗APT組織將其作為重點攻擊目標》、《核電站成APT暴擊核心,官方確認:印度Kudankulam已感染朝鮮惡意軟件》等重磅新聞還歷歷在目,一場聲勢浩蕩的APT攻擊又洶湧而來且活躍進行,全球工業企業都處在安全的警戒線上,危險隨時爆發。
真可謂,一波未平一波又起,以關鍵基礎設施為主的工業企業儼然已成為APT攻擊的核心靶場。然而,報道新聞不是最終目的,最重要的是我們是希望各大工業企業能防患於未然。畢竟,威脅如十級地震一樣爆發後,我們要負擔的將是比一堆廢墟要還慘重的代價。
此外,針對如何防範此類型的攻擊,防護關鍵性工業企業免受侵擾,智庫也整理了一些建議:
1.企業員工要提高網絡安全防範意識,警惕電子郵件附件中的壓縮文件;
2.使用安全軟件檢測可疑電子郵件的安全性,也要檢測未知軟件的安全性;
3.可以採用網絡分段,以限制攻擊者從IT到OT的能力;
4.可使用MFA保護遠程訪問解決方案,以防止使用被盜憑據進行未經授權的訪問;
5.設置特定於IoT / ICS的網絡安全監控,以檢測對工業控制網絡的可疑訪問者或未經授權的訪問者;
6.此外,工業企業相關工作者還應持續關注工業威脅情報,以便及時瞭解隨時引發的網絡攻擊行為,同時,還可以將其與本公司的SIEM,監視系統等集成,以便進一步預防攻擊者的入侵。
其他資料補充:
Separ惡意軟件,最早由SonicWALL在2013年發現,今年2月,網絡安全公司DeepInstinct的研究人員爆出該惡意軟件攻擊感染全球數百家企業。
參考資料:
《Gangnam Industrial Style: APT組織瞄準韓國工業公司》
https://cyberx-labs.com/blog/gangnam-industrial-style-apt-campaign-targets-korean-industrial-companies/
本文為國際安全智庫作品 (微信公眾號:guoji-anquanzhiku)
如需轉載,請標註文章來源於:國際安全智庫
