社区编辑申请
注册/登录
数千工业组织的企业电子邮件账户失窃,被滥用进行下一次攻击
安全 终端安全
攻击者滥用企业邮箱的联系人信任发起攻击,从一个工业企业传播到另一个工业企业。

“异常”的攻击

2021 年,卡巴斯基的工控安全专家注意到工控环境计算机上检出间谍软件的统计数据中存在部分异常。尽管这些攻击中使用的恶意软件都属于知名的商业间谍软件(如 AgentTesla/Origin Logger、HawkEye、Noon/Formbook、Masslogger、Snake Keylogger、Azorult、Lokibot 等),但这些攻击的目标极其有限且每个样本的生命周期都非常短。如下图红色矩形所示:

恶意样本检出数量与发现时间

这些攻击的生命周期通常在 25 天左右,且攻击的计算机数量不超过 100 台。其中 40-45% 是工控环境下的计算机,其余为同一组织的其他 IT 基础设施。

在 2021 年上半年时,全球工控环境计算机上被检出的所有间谍软件样本约有 21.2% 也属于此类攻击的范畴。并且根据地域的不同,有多达六分之一的计算机受到此类攻击。

C&C 基础设施

这些表现出“异常”的恶意样本,大多都使用基于 SMTP(而非 FTP/HTTP)的 C&C 信道进行单向数据传说,这意味攻击者的目标就是窃取数据。

异常样本与全部样本的对比

TTP

卡巴斯基认为,窃取的数据主要被攻击者用来在失陷组织内进行横向平移或者是用来攻击其他组织。

攻击者会利用之前攻陷的组织的邮箱作为发起新攻击的 C&C 服务器。

在同类攻击中,发现了大量的攻击都是通过伪装成难以检测的钓鱼邮件发起的。攻击者就滥用企业邮箱的联系人信任发起攻击,从一个工业企业传播到另一个工业企业。

攻击者行为示意图

与此同时,企业部署的反垃圾邮件技术使这些邮件在垃圾邮件文件夹中不容易被发现,这也让攻击者从失陷主机窃取凭据时可以不被注意。

总体而言,已经发现超过 2000 个属于工业组织的企业邮箱被滥用,作为发起新攻击的 C&C 服务器。根据卡巴斯基的估算,可能还有超过 7000 个邮箱被在网络上出售或者以其他方式被滥用。

攻击者

大多数攻击都是由水平不高的个人或者小团伙独立发起的,大多数都是直接性的金融犯罪,也有些攻击者会将失陷公司网络服务(SMTP、SSH、RDP、VPN 等)的凭据在市场上出售获利。

地下市场

跟踪了超过 25 个地下市场,市面上有很多已经确认被盗的数据正在被出售。各种卖家提供了数千个 RDP、SMTP、SSH、cPanel 以及电子邮件帐户在售卖,有的甚至还包括恶意软件、欺诈方案以及钓鱼邮件和钓鱼网页。

对市场上待售的 50000+ 个 RDP 账户的元数据进行统计分析,其中 1954 个(3.9%)属于工业组织。

相关行业统计

这些信息可以被通过多种方式滥用,甚至有可能被勒索软件团伙或者 APT 组织所利用。在地下市场上,对企业内部系统访问权限的需求是很多的,攻击者也正在积极满足这些需求。

建议

  • 考虑为企业邮箱以及其他面向互联网的服务(包括 RDP、VPN-SSL 网关等)实施双因子验证,避免攻击者通过这些服务直接触达关键数据和基础设施
  • 确保 IT 和 OT 网络上的所有端点都在保护范围内
  • 定期培训员工,提高正确处理收到电子邮件的安全意识
  • 定期检查垃圾邮件,而非只是直接清空
  • 监控组织账户在互联网上的泄露情况
  • 考虑对收到的电子邮件附件执行沙盒测试,不跳过检查受信任来源的电子邮件
  • 甚至对发出的电子邮件也需要检查,也可能使自己意识到被攻陷了

参考来源:​​Kaspersky​

责任编辑:赵宁宁 来源: FreeBuf
相关推荐

2022-05-17 14:03:42

勒索软件远程工作

2022-05-18 10:58:36

LinuxKali Linux

2022-05-20 14:54:33

数据安全数字化转型企业

2022-05-16 13:37:12

Sysrv僵尸网络微软

2022-05-16 10:36:08

GitHub开源项目

2022-05-11 08:23:54

自动化测试软件测试

2022-04-26 05:49:45

物联网OTIT

2022-05-24 12:05:36

Testin云测试

2022-05-16 10:49:28

网络协议数据

2022-05-18 07:17:40

网络杀伤链攻击模型

2022-05-16 15:35:00

漏洞黑客

2022-05-17 14:17:50

物理安全网络攻击网络安全

2022-05-11 14:05:11

区块链网络安全存储

2022-05-20 14:08:13

Web3元宇宙区块链

2022-04-09 11:53:52

供应链攻击

2022-05-24 12:42:24

物联网

2022-05-24 07:51:05

测试模型测试单元测试

2022-05-10 06:01:17

Windows 11微软操作系统

2022-04-22 13:01:13

勒索软件黑客网络攻击

2022-05-23 10:55:19

华为数字化转型架构蓝图

编辑推荐

iPhone再次出现神秘代码:收到这串信息会直接出现死机问题西数红盘“叠瓦门”后,机械硬盘选购避坑指南智能安全系统已被黑的8个征兆!Android数据存储安全实践恶意软件可以通过电源从气隙式PC中提取数据
我收藏的内容
点赞
收藏

51CTO技术栈公众号