“异常”的攻击
2021 年,卡巴斯基的工控安全专家注意到工控环境计算机上检出间谍软件的统计数据中存在部分异常。尽管这些攻击中使用的恶意软件都属于知名的商业间谍软件(如 AgentTesla/Origin Logger、HawkEye、Noon/Formbook、Masslogger、Snake Keylogger、Azorult、Lokibot 等),但这些攻击的目标极其有限且每个样本的生命周期都非常短。如下图红色矩形所示:
恶意样本检出数量与发现时间
这些攻击的生命周期通常在 25 天左右,且攻击的计算机数量不超过 100 台。其中 40-45% 是工控环境下的计算机,其余为同一组织的其他 IT 基础设施。
在 2021 年上半年时,全球工控环境计算机上被检出的所有间谍软件样本约有 21.2% 也属于此类攻击的范畴。并且根据地域的不同,有多达六分之一的计算机受到此类攻击。
C&C 基础设施
这些表现出“异常”的恶意样本,大多都使用基于 SMTP(而非 FTP/HTTP)的 C&C 信道进行单向数据传说,这意味攻击者的目标就是窃取数据。
异常样本与全部样本的对比
TTP
卡巴斯基认为,窃取的数据主要被攻击者用来在失陷组织内进行横向平移或者是用来攻击其他组织。
攻击者会利用之前攻陷的组织的邮箱作为发起新攻击的 C&C 服务器。
在同类攻击中,发现了大量的攻击都是通过伪装成难以检测的钓鱼邮件发起的。攻击者就滥用企业邮箱的联系人信任发起攻击,从一个工业企业传播到另一个工业企业。
攻击者行为示意图
与此同时,企业部署的反垃圾邮件技术使这些邮件在垃圾邮件文件夹中不容易被发现,这也让攻击者从失陷主机窃取凭据时可以不被注意。
总体而言,已经发现超过 2000 个属于工业组织的企业邮箱被滥用,作为发起新攻击的 C&C 服务器。根据卡巴斯基的估算,可能还有超过 7000 个邮箱被在网络上出售或者以其他方式被滥用。
本文内容不用于商业目的,如涉及知识产权问题,请权利人联系51Testing小编(021-64471599-8017),我们将立即处理
