卡巴斯基将新细节展示成关于工业公司的一系列目标攻击

2020年初,报道了一系列关于各地区工业组织的有针对性的攻击。根据最新的卡巴斯基ICS Cert调查结果,这些命中率先专注于日本,意大利,德国和英国的系统。

目标清单包括工业企业设备和软件的供应商。研究表明,攻击者使用恶意Microsoft Office文档,PowerShell脚本和各种技术,使其难以检测和分析他们的恶意软件–包括隐写术,一种巧妙的数据隐藏技术,隐藏在那里有任何信息的事实。

有针对性的攻击工业物体有机侵害网络安全社区的关注:他们是复杂的,并专注于具有临界价值的公司的类型。后者工作中的任何中断可能导致各种不受欢迎的后果,从成功的工业间谍到综合金融损失。
检查的一系列攻击也不例外。用作初始攻击向量的网络钓鱼电子邮件是根据每个特定受害者的特定语言量身定制和定制的。仅当操作系统具有与网络钓鱼电子邮件中使用的语言匹配的本地化时,此攻击中使用的恶意软件才会执行破坏性活动。例如,在攻击来自日本的公司的情况下,网络钓鱼电子邮件的文本和包含恶意宏的Microsoft Office文件是用日语编写的。此外,要成功解密恶意软件模块,操作系统也必须具有日语本地化。

仔细分析表明,攻击者使用Mimikatz实用程序窃取存储在受损系统上的Windows帐户的身份验证数据。攻击者可以使用此信息来访问企业网络中的其他系统并开发攻击。特别危险的情况是当攻击者访问具有域管理员权限的帐户的访问时。

在所有检测到的情况下,恶意软件被卡巴斯基安全解决方案阻止,防止攻击者继续其活动。因此,犯罪分子的最终目标仍然未知。卡巴斯基ICS证书专家继续监测新的类似案例。如果您遇到这样的攻击,您可以在卡巴斯基网站上使用这种特殊形式报告。

“由于攻击者使用的几种非标准技术解决方案,这种攻击引起了注意力。例如,使用隐写法方法在图像内编码恶意软件模块,并且图像本身托管了合法的Web资源。所有这一切都使得使用网络流量监控和控制工具来检测此类恶意软件的下载:从技术解决方案的角度来看,这种活动与合法图像托管的通常访问不同。

再加上感染的靶向性质,这些技术表明了这些攻击的复杂和选择性。令人担忧的是,工业承包商是袭击事件的受害者之一。如果承包商组织的员工的认证数据落入恶意手中,这可能导致许多负面后果,从保密数据盗窃开始,通过承包商使用的远程管理工具攻击工业企业的攻击,”卡巴斯基的安全专家Vyacheslav Kopeytsev表示。

“对承包商的攻击再次表明,对于要可靠操作的电力设施,确保工作站和服务器受到保护,这是重大重要的–在企业和运营技术网络上。虽然强大的端点保护可能足以防止类似的攻击,但在这种情况下,我们仍然建议使用最全面的方法来支持工业设施’S网络防御。通过承包商和供应商的攻击可以在企业内完全不同的入口点,包括OT网络上的进入点。

即使攻击’■目标仍不清楚,遵循攻击者有可能获得该设施的可能性更准确’S关键系统。现代网络监测手段,异常和攻击检测可以有助于及时检测工业控制系统和设备攻击迹象,并防止可能的事件“,”Anton Shutulin,解决方案业务领域,卡巴斯基工业网络安全。

为了减少受到攻击的风险,建议工业组织:

  • 为如何安全地与电子邮件合作,为企业的员工提供培训,特别是识别网络钓鱼电子邮件。
  • 限制Microsoft Office文档中的宏执行。
  • 限制PowerShell脚本的执行(如果可能的话)。
  • 特别注意Microsoft Office应用程序发起的PowerShell进程启动事件。限制程序接收Sedebugprivilege权限(如果可能的话)。
  • 为企业的企业端点安装安全解决方案,例如业务的Kaspersky Endpoint Security,能够集中管理安全策略,并为安全解决方案维护最新的防病毒数据库和软件模块。
  • 为网络的节点和KIC等KIC使用安全解决方案,以确保所有行业关键系统的全面保护。
  • 仅在必要时使用具有域管理员权限的帐户。使用此类帐户后,重新启动执行身份验证的系统。
  • 实现密码策略,具有复杂程度和常规密码更改的要求。
  • 在初始怀疑该系统被感染后,执行防病毒检查并强制使用用于登录受妥协系统的帐户的密码更改。
     

评论(0)

添加评论

此线程已关闭新评论。

社论:+44(0)1892 536363
出版商:+44(0)208 440 0372
订阅每周电子通讯