“異?！钡墓?/h4>

2021 年，卡巴斯基的工控安全專(zhuān)家注意到工控環(huán)境計(jì)算機(jī)上檢出間諜軟件的統(tǒng)計(jì)數(shù)據(jù)中存在部分異常。盡管這些攻擊中使用的惡意軟件都屬于知名的商業(yè)間諜軟件(如 AgentTesla/Origin Logger、HawkEye、Noon/Formbook、Masslogger、Snake Keylogger、Azorult、Lokibot 等)，但這些攻擊的目標(biāo)極其有限且每個(gè)樣本的生命周期都非常短。如下圖紅色矩形所示：

惡意樣本檢出數(shù)量與發(fā)現(xiàn)時(shí)間

這些攻擊的生命周期通常在 25 天左右，且攻擊的計(jì)算機(jī)數(shù)量不超過(guò) 100 臺(tái)。其中 40-45% 是工控環(huán)境下的計(jì)算機(jī)，其余為同一組織的其他 IT 基礎(chǔ)設(shè)施。

在 2021 年上半年時(shí)，全球工控環(huán)境計(jì)算機(jī)上被檢出的所有間諜軟件樣本約有 21.2% 也屬于此類(lèi)攻擊的范疇。并且根據(jù)地域的不同，有多達(dá)六分之一的計(jì)算機(jī)受到此類(lèi)攻擊。

C&C 基礎(chǔ)設(shè)施

這些表現(xiàn)出“異?！钡膼阂鈽颖?，大多都使用基于 SMTP(而非 FTP/HTTP)的 C&C 信道進(jìn)行單向數(shù)據(jù)傳說(shuō)，這意味攻擊者的目標(biāo)就是竊取數(shù)據(jù)。

異常樣本與全部樣本的對(duì)比

TTP

卡巴斯基認(rèn)為，竊取的數(shù)據(jù)主要被攻擊者用來(lái)在失陷組織內(nèi)進(jìn)行橫向平移或者是用來(lái)攻擊其他組織。

攻擊者會(huì)利用之前攻陷的組織的郵箱作為發(fā)起新攻擊的 C&C 服務(wù)器。

在同類(lèi)攻擊中，發(fā)現(xiàn)了大量的攻擊都是通過(guò)偽裝成難以檢測(cè)的釣魚(yú)郵件發(fā)起的。攻擊者就濫用企業(yè)郵箱的聯(lián)系人信任發(fā)起攻擊，從一個(gè)工業(yè)企業(yè)傳播到另一個(gè)工業(yè)企業(yè)。

攻擊者行為示意圖

與此同時(shí)，企業(yè)部署的反垃圾郵件技術(shù)使這些郵件在垃圾郵件文件夾中不容易被發(fā)現(xiàn)，這也讓攻擊者從失陷主機(jī)竊取憑據(jù)時(shí)可以不被注意。

總體而言，已經(jīng)發(fā)現(xiàn)超過(guò) 2000 個(gè)屬于工業(yè)組織的企業(yè)郵箱被濫用，作為發(fā)起新攻擊的 C&C 服務(wù)器。根據(jù)卡巴斯基的估算，可能還有超過(guò) 7000 個(gè)郵箱被在網(wǎng)絡(luò)上出售或者以其他方式被濫用。

攻擊者

大多數(shù)攻擊都是由水平不高的個(gè)人或者小團(tuán)伙獨(dú)立發(fā)起的，大多數(shù)都是直接性的金融犯罪，也有些攻擊者會(huì)將失陷公司網(wǎng)絡(luò)服務(wù)(SMTP、SSH、RDP、VPN 等)的憑據(jù)在市場(chǎng)上出售獲利。

地下市場(chǎng)

跟蹤了超過(guò) 25 個(gè)地下市場(chǎng)，市面上有很多已經(jīng)確認(rèn)被盜的數(shù)據(jù)正在被出售。各種賣(mài)家提供了數(shù)千個(gè) RDP、SMTP、SSH、cPanel 以及電子郵件帳戶(hù)在售賣(mài)，有的甚至還包括惡意軟件、欺詐方案以及釣魚(yú)郵件和釣魚(yú)網(wǎng)頁(yè)。

對(duì)市場(chǎng)上待售的 50000+ 個(gè) RDP 賬戶(hù)的元數(shù)據(jù)進(jìn)行統(tǒng)計(jì)分析，其中 1954 個(gè)(3.9%)屬于工業(yè)組織。

相關(guān)行業(yè)統(tǒng)計(jì)

這些信息可以被通過(guò)多種方式濫用，甚至有可能被勒索軟件團(tuán)伙或者 APT 組織所利用。在地下市場(chǎng)上，對(duì)企業(yè)內(nèi)部系統(tǒng)訪(fǎng)問(wèn)權(quán)限的需求是很多的，攻擊者也正在積極滿(mǎn)足這些需求。

建議

• 考慮為企業(yè)郵箱以及其他面向互聯(lián)網(wǎng)的服務(wù)(包括 RDP、VPN-SSL 網(wǎng)關(guān)等)實(shí)施雙因子驗(yàn)證，避免攻擊者通過(guò)這些服務(wù)直接觸達(dá)關(guān)鍵數(shù)據(jù)和基礎(chǔ)設(shè)施
• 確保 IT 和 OT 網(wǎng)絡(luò)上的所有端點(diǎn)都在保護(hù)范圍內(nèi)
• 定期培訓(xùn)員工，提高正確處理收到電子郵件的安全意識(shí)
• 定期檢查垃圾郵件，而非只是直接清空
• 監(jiān)控組織賬戶(hù)在互聯(lián)網(wǎng)上的泄露情況
• 考慮對(duì)收到的電子郵件附件執(zhí)行沙盒測(cè)試，不跳過(guò)檢查受信任來(lái)源的電子郵件
• 甚至對(duì)發(fā)出的電子郵件也需要檢查，也可能使自己意識(shí)到被攻陷了

參考來(lái)源：??Kaspersky??