󰅡收起

Yu1u Security Club

20
八月

“食尸鬼行动”对各国多家工业和企业机构发起攻击

作者: 雨路
分类: 深度资讯
发布时间: 2016-08-20 18:19

20153月以来,一个组织严密的网络犯罪团伙对超过30个国家逾130家企业开展工业间谍活动。绝大多数受害者为工业领域的中小型企业(30-300员工)。

卡巴斯基实验室表示,他们将该行动称之为“食尸鬼行动” (Operation Ghoul),行动集中在2016年6月,6月8日—6月27最为活跃。

攻击者以工业领域的企业为目标

大多数目标企业活跃在工业领域,比如石油化工、海军、军事、航空航天、重型机械、太阳能、刚铁、泵、塑料等行业。该间谍组织还针对其它领域,包括工程、航运、医药、制造、贸易、教育、旅游、IT等。

该组织主要将目标局限在活跃于工业领域的企业,但不具体针对一个国家。攻击范围遍布全球:西班牙(25起)、巴基斯坦(22起)、阿联酋(19)、印度(17)、埃及(16)等。

其它被攻击国家包括英国、德国、南非、葡萄牙、卡塔尔、瑞士直布罗陀、美国、瑞典、中国、法哥、阿塞拜疆、伊拉克、土耳其、罗马尼亚、伊朗、伊拉克和意大利。

攻击者使用鹰眼HawkEyeRAT感染高管

“食尸鬼”黑客使用HawkEye RAT(远程访问木马),也被称为KeyBase实施攻击。

在2016年6月,研究人员发现了大量鱼叉式网络钓鱼电子邮件中包含恶意附件。附件中的恶意软件基于在暗网公开售卖的“鹰眼”商业间谍软件,为攻击者提供大量黑客工具。一旦安装,它会收集受害者PC的数据,包括:

  • 击键

  • 剪贴板数据

  • FTP服务器凭证

  • 浏览器的账户数据

  • 消息客户端的账户数据(Paltalk、Google talk、AIM)

  • 电子邮件客户端的账户数据(Outlook、Windows Live邮件)

  • 已安装应用程序信息(Microsoft Office)

攻击者在EXE文件中打包他们的RAT,放在ZIP文件内通过鱼叉式钓鱼邮件发送给目标企业的高管。卡巴斯基表示,这些邮件发送给了首席执行官、首席运营官、经理、工程师、主管、销售等。

卡巴斯基高级安全研究员Mohamad Amin Hasbini表示,“鱼叉式钓鱼邮件大多发送目标机构的高管,很大程度上是因为攻击者希望获取核心情报、其它有趣的信息以及控制账号。”

对于这类攻击,“鹰眼”收集目标数据并通过HTTP以非加密的方式发送至两个服务器中的一个。卡巴斯基表示,这两个服务器属于过去被劫持的合法企业所有。

Mohamad Amin Hasbini称,“在古代民间传说中,食尸鬼是吃人肉和抓孩子的邪恶灵魂,原本是美索不达米亚的恶魔,而如今,这个词有时用来形容贪婪或金钱至上的人。这是对Operation Ghoul的最精切描述。他们的主要动机是通过售卖窃取得来的知识产权、商业情报或受害者的银行账户赚取经济利益。这类组织可能会对任何企业实施攻击。虽然他们使用较简单的恶意工具,但攻击十分有效。因此,如果企业不做好准备很容易遭受攻击。”

工业领域的企业如何免受食尸鬼行动攻击?

为了保护免受Operation Ghoul攻击以及其它类似的威胁,研究人员建议企业采取以下措施:

  • 教育员工,使他们能分辨鱼叉式钓鱼邮件或钓鱼链接。

  • 使用经验证的企业级安全解决方案,结合对抗目标攻击的解决方案,通过分析网络异常发现攻击行为。

  • 为安全员工提供最新威胁情报数据,用有帮助性的工具预防和发现以此进行武装,比如攻击和YARA规则指标。

本文出自 Yu1u Security Club ,转载时请注明出处及相应链接。

本文永久链接: https://www.yu1u.org/post/193.html

发表评论

电子邮件地址不会被公开。 必填项已用*标注