返回新闻列表

食尸鬼行动:利用现成恶意工具针对工业和工程组织的大规模攻击

        卡巴斯基实验室全球研究和分析团队发现了一轮最新的针对全球多个国家的工业和工程领域的针对性攻击。网络罪犯使用鱼叉式钓鱼邮件和基于商业间谍软件工具制作的恶意软件,窃取存储在受害者网络中的重要商业数据。该网络犯罪组织成功攻击了30个国家的130多个组织,包括西班牙、巴基斯坦、阿联酋、印度、埃及、英国、德国、沙特阿拉伯和其他国家。

       2016年6月,卡巴斯基实验室研究人员发现一波包含恶意附件的鱼叉式钓鱼邮件。这些邮件主要发送给多家公司的高层和中层管理人员。攻击者发送的这些邮件看上去像是来自一家阿联酋的银行:邮件内容看上去是一封来自银行的支付通知书,并且附带一个SWIFT文档。但是事实上,附件包含恶意软件。

       卡巴斯基实验室的研究人员在进行深入调查时发现,这次的鱼叉式钓鱼攻击行动很可能是一个网络犯罪组织发动的,而且卡巴斯基实验室的研究人员从2015年3月就开始追踪这一网络犯罪组织。而六月份的攻击行动似乎是他们最近进行的一次攻击行动。

       邮件附件中包含的恶意软件是基于HawkEye商业间谍软件制作的,这种间谍软件在暗网上被公开销售,能够为攻击者提供多种工具。一旦安装到受害者计算机上,恶意软件会从计算机上收集以下数据:

  • 击键记录
  • 剪贴板数据
  • FTP服务器登陆凭证
  • 浏览器中的账户数据
  • 即时通讯客户端中的账户数据(包括Paltalk、Google Tak、AIM… …)
  • 邮件客户端中的账户数据(包括Outlook、Windows Live mail… …)
  • 有关计算机上安装的应用程序信息(Microsoft Office)

       之后,将这些数据发送到网络罪犯的命令和控制服务器。基于对某些命令和控制服务器设置sinkhole获取到的信息,大多数受害者均为工业和工程领域的企业或组织,其他受影响行业还包括航运业、制药业、制造业、贸易公司、教育机构和其他类型实体。

       这些企业都存在有价值的信息,可以被用来在黑市上销售。所以,网络罪犯发动食尸鬼攻击行动的主要动机是获取利润。

       卡巴斯基实验室的研究人员将这次的攻击行动命名为食尸鬼攻击行动。而且根据卡巴斯基实验室研究,这次的攻击行动只是该网络犯罪组织所控制的多个攻击行动中的一个。目前,该网络犯罪组织仍然活跃。

       “在古老的民间传说中,食尸鬼是一种吃人和猎杀小孩的恶灵,原本是一种美索不达米亚恶魔。今天,这一词汇有时候用来指代哪些贪婪或追求物质利益的人。这一描述对于食尸鬼行动幕后的网络罪犯组织非常准确。他们发动攻击的主要动机是通过销售被盗的知识产权信息或商业情报或通过攻击受害者的银行账户获取经济利益。同得到政府支持的攻击组织不同,这类攻击组织不会仔细挑选被攻击目标,而是同很多类似的攻击组织一样,针对任何企业发动攻击。尽管他们使用相对简单的恶意工具,但是攻击效果显著。如果企业没有做好应对准备,就会成为这些攻击的受害者,”卡巴斯基实验室安全专家Mohammad Amin Hasbini说。

       为了保护企业应对食尸鬼攻击行动和其他类似的威胁,卡巴斯基实验室研究人员建议企业采取以下措施:

  • 对员工进行教育,让他们可以分辨鱼叉式钓鱼邮件,或者能够区分钓鱼链接以及正常的邮件和链接
  • 使用可靠的企业级安全解决方案,结合反针对性攻击解决方案,能够通过分析网络中出现的异常拦截攻击
  • 为企业的安全人员提供最新的威胁情报数据,为他们装备能够抵御和发现针对性攻击的工具,例如了解感染迹象和YARA规则

       卡巴斯基实验室的安全产品将食尸鬼行动所使用的恶意软件检测为:

  • Trojan.MSIL.ShopBot.ww
  • Trojan.Win32.Fsysna.dfah
  • Trojan.Win32.Generic

       要了解更多关于食尸鬼攻击行动详情,请访问Securelist.com.

       想要了解卡巴斯基实验室产品如何保护用户抵御这些威胁,请点击这里

       卡巴斯基APT情报报告服务客户可以提前浏览关于食尸鬼攻击行动的报告全文。