针对韩国数百家工业系统的APT攻击正波及全球

 

一波未平一波又起,以关键基础设施为主的工业企业俨然成了APT攻击的核心靶场。

【导语】昨天,多家外媒爆出一项持续进行的工业网络间谍活动。该APT组织使用Separ恶意软件新版本窃取敏感数据和文件,包括工程布局、有关工业设备设计的专有信息等。截至目前,已影响了至少200个系统,受害者约60%的企业为韩国工业企业。此外,泰国、中国、日本、印度尼西亚、土耳其、厄瓜多尔、德国、英国等多国工业企业也不同程度受到影响。

 

韩数百家工业企业受APT重创,持续性高级威胁已波及全球关键基础设施

近日,CyberX威胁情报小组公布了一项针对韩国工业企业的高级持续性间谍活动。据介绍,攻击者会使用带有恶意附件的鱼叉式网络钓鱼电子邮件,伪装成PDF文件发动攻击。成功入侵后,攻击者会从浏览器和电子邮件客户端中窃取登录数据,还会搜寻各种类型的文档和图像。

值得注意是,一旦有关工业设备设计的专有信息、商业秘密、知识产权被窃取,轻则攻击者会对攻击目标进行网络侦察,发动勒索攻击,或者将这些信息出售给竞争对手和寻求提高其竞争地位的国家;重则攻击者可以凭借对IoT / ICS网络的远程RDP访问权限,对该国重要且具有军事意义的工厂布局了如指掌,并可在某关键时刻,直接对该国的工业企业和关键基础设施进行破坏性打击。

此外,危机比我们想象的还要快。据统计,已有数百家韩国工业企业受到影响。其中,最大受害者为一家关键基础设施设备的制造商,它专为化工厂,输电、配电设施或可再生能源行业的公司提供产品。此外,钢铁制造商、化工厂建设公司、管道制造商、阀门制造商、工程公司等相关企业也确认受到影响。

更糟糕的是,攻击活动已波及全球。数据显示:泰国、中国、日本、印度尼西亚、土耳其、厄瓜多尔、德国、英国等多国工业系统也不同程度受到影响。

 

精心伪造钓鱼电子邮件,为攻破工业系统费劲心机

有意思的是,研究员发现:攻击链始于精心制作的网络钓鱼电子邮件。这些“邮件”,不仅带有浓郁的工业主题风,而且善用伪造RFQ(报价单)这一方式。

1. 伪造RFQ:为捷克一家发电厂的设计询价

这封钓鱼邮件,不仅冒充西门子子公司的雇员发送,邮件内容也极为详实,包含:发电厂的示意图、有关如何使用燃气运行该工厂的公开技术白皮书。

2. 伪造RFQ:用于设计印尼的一家燃煤电厂

在这份伪造的RFD中,攻击者假装是日本一家大型工程企业集团的子公司,并表达出其了在印尼建造燃煤电厂的兴趣,此外,为了增加合法性,该电子邮件还提供了关于其公司对外介绍的信息资料(附件中的PDF文件)。

此外,还有一封似乎来自欧洲某大型工程公司买方的电子邮件,该公司设计天然气加工和生产工厂。

 

进一步探究攻击“武器”,Separ恶意软件新版本浮出水面

进一步探究中,研究员发现:该APT组织使用了Separ恶意软件的新版本。其具体攻击流程如下:

首先,该恶意软件隐藏在网络钓鱼电子邮件的zip文件中。目标用户解压后,恶意软件就开始“运作”起来。

具体而言,它将会窃取浏览器和电子邮件凭据,搜索具有一系列扩展名的文档,包括Office文档和图像等。同时,它通过FTP将所有被泄露的信息上传到一个免费的虚拟主机服务(freehostia.com)。此外,该恶意软件还将运行ipconfig命令来映射连接到受感染系统的网络适配器,并尝试禁用Windows防火墙。

值得注意的是,研究人员还表示:该恶意软件会依靠自动运行功能,在系统重新启动后继续生存,并附带了许多免费提供的工具:

  • 浏览器密码转储v6.0by SecurityXploded
  • 电子邮件密码转储v3.0 by SecurityXploded
  • NcFTPPut3.2.5 –免费的FTP客户端
  • LaZagne项目(密码转储器)
  • deltree(删除文件夹)
  • Windows NT /2000 / XP V2.03的命令行进程查看器/终止进程/挂起程序
  • MOVEit Free1.0.0.1 –安全的FTP客户端
  • tricerat的睡眠工具

《西门子SPPA-T3000工控系统爆出致命漏洞且未完全修复,全球电厂或再遭劫难!》《工控系统再迎大波澜,伊朗APT组织将其作为重点攻击目标》《核电站成APT暴击核心,官方确认:印度Kudankulam已感染朝鲜恶意软件》等重磅新闻还历历在目,一场声势浩荡的APT攻击又汹涌而来且活跃进行,全球工业企业都处在安全的警戒线上,危险随时爆发。

真可谓,一波未平一波又起,以关键基础设施为主的工业企业俨然已成为APT攻击的核心靶场。然而,报道新闻不是最终目的,最重要的是我们是希望各大工业企业能防患于未然。毕竟,威胁如十级地震一样爆发后,我们要负担的将是比一堆废墟要还惨重的代价。

此外,针对如何防范此类型的攻击,防护关键性工业企业免受侵扰,智库也整理了一些建议:

1.企业员工要提高网络安全防范意识,警惕电子邮件附件中的压缩文件;

2.使用安全软件检测可疑电子邮件的安全性,也要检测未知软件的安全性;

3.可以采用网络分段,以限制攻击者从IT到OT的能力;

4.可使用MFA保护远程访问解决方案,以防止使用被盗凭据进行未经授权的访问;

5.设置特定于IoT / ICS的网络安全监控,以检测对工业控制网络的可疑访问者或未经授权的访问者;

6.此外,工业企业相关工作者还应持续关注工业威胁情报,以便及时了解随时引发的网络攻击行为,同时,还可以将其与本公司的SIEM,监视系统等集成,以便进一步预防攻击者的入侵。

其他资料补充:

Separ恶意软件,最早由SonicWALL在2013年发现,今年2月,网络安全公司DeepInstinct的研究人员爆出该恶意软件攻击感染全球数百家企业。

参考资料:

《Gangnam Industrial Style: APT组织瞄准韩国工业公司》

https://cyberx-labs.com/blog/gangnam-industrial-style-apt-campaign-targets-korean-industrial-companies/

本文为国际安全智库作品 (微信公众号:guoji-anquanzhiku)

如需转载,请标注文章来源于:国际安全智库

(完)