2020s异常间谍软件活动窃取工业企业凭证.docxVIP

第 PAGE 第 PAGE #页共12页 2020s异常间谍软件活动窃取工业企业凭证 内容提要 卡巴斯基研究人员发现了针对工业企业的异常间谍软件活动，目的是窃取 电子邮件账户凭据，并进行财务欺诈或将其转售给其他威胁行为者。攻击者使 用现成的间谍软件工具，并且在非常有限的时间内部署每个变体，来逃避检 测。 目录 摘要 这些异常恶意软件样本的生命周期只有25天，然后替换成新的样本，比 典型的攻击要短得多。在攻击活动中大约45%与ICS设备相关。攻击中使用的 恶意软件包括：AgentTesla/Origin Logger HawkEye Noon/Formbook^ Masslogger、Snake Keylogger Azorult 和 Lokiboto 卡巴斯基ICS CERT研究人员发现，越来越多的异常间谍软件攻击感染了 全球ICS计算机。虽然这些攻击中使用的恶意软件属于知名的商业间谍软件家 族，但由于每次攻击的目标数量非常有限，且每个恶意样本的生命周期非常 短，因此使得研究人员注意到了这些攻击。 在2021年上半年全球ICS计算机上拦截的所有间谍软件样本中，约有 21.2%是此类新型的范围有限且寿命短暂的攻击。同时在亚洲，多达六分之一 的受到间谍软件攻击的计算机都是使用这种策略攻击的。 在研究异常情况过程中，有大量活动从一个工业企业传播到另一个工业企 业，通过伪装成受害组织通信的难以检测的网络钓鱼电子邮件，并滥用其企业 电子邮件系统通过受感染邮箱的联系人列表进行攻击。 总体而言，卡巴斯基已经确定了超过2,000个属于工业企业的公司电子邮 件账户，被滥用为下一次攻击C2服务器，成功进行了此类恶意操作。此外卡 巴斯基估计有超过7,000个账号被盗，并在网络上出售或以其他方式被滥用。 全球数千家工业企业面临恶意软件“短平快”攻击 根据卡巴斯基最新发布的工控安全报告，全球数以千计的工业企业正面临 窃取企业账户凭证的恶意软件的“短平快”攻击，攻击者出售这些凭证以获取 利润。卡巴斯基对2021年上半年在全球 根据卡巴斯基最新发布的工控安全报告，全球数以千计的工业企业正面临 窃取企业账户凭证的恶意软件的“短平快”攻击，攻击者出售这些凭证以获取 利润。 卡巴斯基对2021年上半年在全球ICS计算机上发现的恶意软件进行了分 析，并注意到这些样本中大约20%的生命周期仅为25天一一然后它们会被新 “毒株”替代。此类攻击在所有针对ICS的间谍软件攻击的占比如下（蓝色为短 期攻击）： Asia Africa Middle East Russia Europe Australia and New Zealand North America 2.1% 10.1% 11.9% 15.4% 6.8% 6.3% 5.6% 3.3% 0% 2% 4% 6% 8% 10K 12* 14% 16X 18% ■ Spywire with Nanom?lousN scope and lifespan ■ All spyware = j J J J - 这比典型的工控系统攻击的周期要短得多，特别是考虑到攻击者使用的是 广为人知的恶意软件品种，例如AgentTesla、HawkEye Formbook Masslogger、Snake Keylogger Azorult 和 Lokibot。 卡巴斯基将这些活动中使用的恶意软件描述为间谍软件一一该公司的ICS 团队将这个术语用于后门、特洛伊木马和键盘记录程序。 除了生命周期短之外，该恶意软件并未在这些攻击活动中广泛传播一一最 多只有100台设备被感染，其中40-45%是与ICS相关的设备。 根据卡巴斯基的定义，这些设备包括HMI、SCADA系统、数据网关、工程 工作站、用于管理工业网络的计算机以及用于开发工业系统软件的设备。 一旦进入组织的网络，攻击者就会横向移动并破坏受害者的公司电子邮件 服务，从而将恶意软件传递给其他组织。卡巴斯基研究人员已经确定了 2,000 多个企业电子邮件帐户，这些帐户用于发送带有恶意附件的鱼叉式网络钓鱼电 子邮件。 研究人员认为，这些运动的目标是2000多家工业企业，这些攻击活动由 “低技能个人和小团体”独立操作。这些攻击者出于经济动机，使用被盗数据 直接实施金融犯罪，或者在网络犯罪市场上出售获得的SMTP、RDP、SSH和 VPN凭证。 卡巴斯基估计，攻击者已经获得了大约7,000个公司帐户的访问权限。这 些活动中被盗的凭证已在25个市场上出售。 “对这些市场的分析表明，对企业账户凭证的需求很高，尤其是远程桌面 账户(RDP)。”卡巴斯基指出。“在分析的市场中销售的所有RDP账户中，超 过46%的账户归美国公司所有，其余来自亚洲、欧洲和拉丁美洲。在所有被出 售的RDP账户中，近4%(近