研究人员最近跟踪一个高级持续威胁 (APT) 攻击时发现一个趋势,攻击者并未像过去一样采用成本高昂的专用间谍工具,而是一些网上随处可得的免费工具。
该攻击使用行业主题的鱼叉式网络钓鱼电子邮件,并与免费工具组合来针对关键基础设施设备制造商实施攻击。这种策略代表了网络间谍 “就地取材、勤俭持家” 的全新 “经营理念”,免费工具的大量使用减少了他们对定制和专用恶意软件程序的依赖。
根据工业网络安全公司 CyberX 的调查,该 APT 攻击超过一半的目标公司位于韩国,但在中国,泰国,日本,印度尼西亚,土耳其,德国,英国和厄瓜多尔也发现了受害企业(分布图如上)。尽管该攻击似乎特别针对亚洲和韩国,但工业部门的供应链本质上是全球性的,并且相互关联。韩国制造商的沦陷可以为攻击者提供攻击其全球合作伙伴和客户所需的信息。
攻击的受害者包括一家价值数十亿美元的韩国企业集团,主要生产输配电设施、可再生能源、化工厂、焊接和建筑的重型设备。此外还包括钢铁制造商、化工厂建筑公司、管道制造商、阀门制造商和工程公司。研究人员有证据表明,到目前为止,已有 200 多个系统遭到入侵,截至文章发布,这个谐称 “江南工业风” (Gangnam Industrial Style) 的攻击活动仍在继续。
使用免费工具和已知恶意软件
“江南工业风” 攻击者的目的是窃取高价值信息,密码窃取程序经过了修改,可以从受感染的系统中收集文档。被盗的文件可能包含商业秘密,设计示意图和其他敏感的商业信息,攻击者可以利用这些信息来计划未来的攻击,发现产品中的漏洞或帮助其客户获得竞争优势。
攻击中使用的恶意软件是 Separ 的新变种,Separ 是自 2013 年以来一直活跃的浏览器和电子邮件凭据窃取程序。新版本能够在系统中搜索具有某些扩展名的文档和图像,并将其上传到 FTP 服务器。
Separ 实际上是工具和批处理脚本的集合,这些工具和批处理脚本打包在自解压的归档文件中,并配置为可一起使用。它包含由 SecurityXploded 和 NcFTPPut FTP 客户端提供的浏览器密码转储和电子邮件密码转储工具。攻击者还向 “工具包” 中添加了其他一些免费工具,例如 LaZagne 项目的密码转储器、文件夹删除工具 deltre、命令行进程查看器 /Killer/Suspender 和一个名为 MOVEit Freely 的安全 FTP 客户端。
诱饵:精心设计的报价请求
比工具更重要的是诱饵,攻击者针对受害者精心设计了颇具欺骗性的钓鱼电子邮件,这些电子邮件伪装成来自工业领域的报价请求 (RFQ),并带有恶意 ZIP 附件。压缩包中是用 PDF 文件图标伪装的恶意批处理脚本。例如下面这个样本:
根据 CyberX 的说法,此活动中使用的鱼叉式网络钓鱼电子邮件的示例包括由捷克子公司发送的设计捷克共和国发电厂的询价,设计印度尼西亚的燃煤发电厂的询价。由一家日本大型企业集团的工程子公司提供,一封电子邮件据称来自设计气体处理和生产工厂的一家欧洲大型工程公司。
攻击者做足了功课,并在电子邮件中包含了电厂示意图,技术白皮书和公司简介等文件,以使它们看起来更真实可信。
这次颇具破坏力的 APT 攻击再次表明,公司需要加强培训员工,提高对钓鱼邮件的免疫能力,尤其是那些内容和附件与公司业务高度相关的钓鱼邮件。
我们的研究表明,江南工业风格运动正在进行中,因为新的被盗凭证仍被上传到对手的 C2(命令与控制)服务器上。
相关阅读
