自2015年起,一严密组织的网络犯罪团体针对全球30多个国家的130多家工业领域中小企业发起了名为“食尸鬼行动”的工业间谍活动。攻击者利用HawkEye RAT木马,通过鱼叉式网络钓鱼邮件侵入企业高管电脑,窃取敏感信息。
是因为中小企业的对安全问题的不重视吧,毕竟资金有限,在这么惨淡的经济环境下,还要拿一笔钱去做安全,真的是好。。艰。。难。。。/(ㄒoㄒ)/~~
--------------------------------------------------------------------------------------------------------------------------------------------
E安全8月18日讯 自2015年3月以来,一个组织严密的网络犯罪团伙对超过30个国家逾130家企业开展工业间谍活动。绝大多数受害者为工业领域的中小型企业(30-300员工)。
网络安全厂商卡巴斯基实验室表示,他们将该行动称之为“食尸鬼行动” (Operation Ghoul),行动集中在2016年6月,6月8日—6月27最为活跃。
攻击者以工业领域的企业为目标
大多数目标企业活跃在工业领域,比如石油化工、海军、军事、航空航天、重型机械、太阳能、刚铁、泵、塑料等行业。该间谍组织还针对其它领域,包括工程、航运、医药、制造、贸易、教育、旅游、IT等。
该组织主要将目标局限在活跃于工业领域的企业,但不具体针对一个国家。攻击范围遍布全球:西班牙(25起)、巴基斯坦(22起)、阿联酋(19)、印度(17)、埃及(16)等。
其它被攻击国家包括英国、德国、南非、葡萄牙、卡塔尔、瑞士直布罗陀、美国、瑞典、中国、法哥、阿塞拜疆、伊拉克、土耳其、罗马尼亚、伊朗、伊拉克和意大利。
攻击者使用“鹰眼”(HawkEye)RAT感染高管
“食尸鬼”黑客使用HawkEye RAT(远程访问木马),也被称为KeyBase实施攻击。
在2016年6月,研究人员发现了大量鱼叉式网络钓鱼电子邮件中包含恶意附件。附件中的恶意软件基于在暗网公开售卖的“鹰眼”商业间谍软件,为攻击者提供大量黑客工具。一旦安装,它会收集受害者PC的数据,包括:
击键
剪贴板数据
FTP服务器凭证
浏览器的账户数据
消息客户端的账户数据(Paltalk、Google talk、AIM)
电子邮件客户端的账户数据(Outlook、Windows Live邮件)
已安装应用程序信息(Microsoft Office)
攻击者在EXE文件中打包他们的RAT,放在ZIP文件内通过鱼叉式钓鱼邮件发送给目标企业的高管。卡巴斯基表示,这些邮件发送给了首席执行官、首席运营官、经理、工程师、主管、销售等。
卡巴斯基高级安全研究员Mohamad Amin Hasbini表示,“鱼叉式钓鱼邮件大多发送目标机构的高管,很大程度上是因为攻击者希望获取核心情报、其它有趣的信息以及控制账号。”
对于这类攻击,“鹰眼”收集目标数据并通过HTTP以非加密的方式发送至两个服务器中的一个。卡巴斯基表示,这两个服务器属于过去被劫持的合法企业所有。
Mohamad Amin Hasbini称,“在古代民间传说中,食尸鬼是吃人肉和抓孩子的邪恶灵魂,原本是美索不达米亚的恶魔,而如今,这个词有时用来形容贪婪或金钱至上的人。这是对Operation Ghoul的最精切描述。他们的主要动机是通过售卖窃取得来的知识产权、商业情报或受害者的银行账户赚取经济利益。这类组织可能会对任何企业实施攻击。虽然他们使用较简单的恶意工具,但攻击十分有效。因此,如果企业不做好准备很容易遭受攻击。”
工业领域的企业如何免受“食尸鬼行动”攻击?
为了保护免受Operation Ghoul攻击以及其它类似的威胁,研究人员建议企业采取以下措施:
教育员工,使他们能分辨鱼叉式钓鱼邮件或钓鱼链接。
使用经验证的企业级安全解决方案,结合对抗目标攻击的解决方案,通过分析网络异常发现攻击行为。
为安全员工提供最新威胁情报数据,用有帮助性的工具预防和发现以此进行武装,比如攻击和YARA规则指标。
E安全注:本文系E安全编译报道,转载请保留出处,不得删减内容。
扫一扫
2348
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
