卡巴斯基實驗室ICS CERT的研究人員在8月1日發(fā)表的一篇博文中指出，該團隊發(fā)現(xiàn)了一系列帶有惡意附件的網絡釣魚電子郵件，主要針對的是與工業(yè)生產相關的俄羅斯公司和機構。從主題和內容上來看，這些電子郵件極具針對性。攻擊者將這些電子郵件偽裝成合法的商業(yè)報價，并且電子郵件內容與其目標所進行的工作極具相關性。

研究人員表示，從他們收集到的數(shù)據(jù)來看，這一系列攻擊開始于2017年11月，并且目前仍處于繼續(xù)進行之中。值得注意的是，早在2015年就已經有類似攻擊的記錄。

根據(jù)卡巴斯基實驗室提供的數(shù)據(jù)我們可以看出，大約有400家與工業(yè)生產相關的公司成為了此次攻擊的目標，這包括制造業(yè)、石油和天然氣、冶金、工程、能源、建筑、采礦以及物流等。在2017年10月到2018年6月期間，大約有800名在這些公司工作的員工遭到了攻擊。

根據(jù)研究人員的說法，在這些攻擊中使用的惡意軟件安裝了合法的遠程管理軟件——TeamViewer或Remote Manipulator System/Remote Utilities（RMS）。這使得攻擊者能夠遠程控制受感染的系統(tǒng)。另外，攻擊者還使用了各種技術來掩蓋安裝在系統(tǒng)中惡意軟件的感染和執(zhí)行。

根據(jù)現(xiàn)有的數(shù)據(jù)來看，攻擊者的主要目標是從目標公司的帳戶中竊取資金。當攻擊者連接到受害者的計算機時，他們會搜索并分析目標公司的采購文件，以及該公司所使用的財務和會計軟件。在此之后，攻擊者會尋找各種方法來實施財務欺詐，例如偽造用于付款的銀行詳細信息。

此外，攻擊者還使用了多種惡意軟件來竊取數(shù)據(jù)，這包括Babylon RAT、Betabot/Neurevt、AZORult stealer、Hallaj PRO RAT。這些惡意軟件都具備收集信息和竊取數(shù)據(jù)的能力，這主要包括：記錄擊鍵；截屏；收集系統(tǒng)信息（如已安裝的應用程序、正在運行的進程）；下載其他惡意軟件；使用計算機作為代理服務器；從流行的應用程序和瀏覽器中竊取密碼；竊取加密貨幣錢包；竊取Skype消息；攔截和欺騙用戶流量；將任意用戶文件發(fā)送到命令和控制服務器。

不僅如此，攻擊者還在某些系統(tǒng)中還安裝了另一款遠程管理實用程序RemoteUtilities（在某些系統(tǒng)中還發(fā)現(xiàn)了Mimikatz一款能夠獲取Windows密碼的工具），它提供了比RMS或TeamViewer更強大的功能集來控制受感染的計算機。其功能包括：遠程控制系統(tǒng)（RDP）；從受感染的系統(tǒng)竊取并上傳文件；控制受感染系統(tǒng)的電源；遠程管理正在運行中的應用程序的進程；遠程shell（命令行）；管理硬件；屏幕截圖和錄制屏幕；通過連接到受感染系統(tǒng)的外接設備進行錄音和錄像；遠程管理系統(tǒng)注冊表。

卡巴斯基實驗室認為，此次攻擊背后的組織者很可能是一個犯罪集團，至少一部分成員對俄語十分熟悉。因為只有熟練掌握俄語的人才能夠將網絡釣魚電子郵件的內容編寫得極具迷惑性，并且對目標公司財務數(shù)據(jù)的修改也需要很好的俄語基礎。

值得注意的是，攻擊者還試圖通過分析目標公司員工的通信來獲取更多的信息。他們很可能是在利用這些電子郵件中的信息來準備新的攻擊，而攻擊的目標很可能就是與當前受害者企業(yè)存在合作關系的公司?？ò退够鶎嶒炇冶硎?，除了直接的經濟損失之外，這些攻擊還可能導致受害者企業(yè)遭遇敏感數(shù)據(jù)泄露。

cc

收藏 海報分享