卡巴斯基揭示了针对工业公司的一系列针对性攻击的新细节

到2020年初,据报道,针对各个地区的工业组织进行了一系列针对性的攻击。根据卡巴斯基ICS CERT的最新发现,这些命中集中在日本,意大利,德国和英国的系统上。

目标清单包括工业企业的设备和软件供应商。研究表明,攻击者使用了恶意的Microsoft Office文档,PowerShell脚本和各种技术,使其很难检测和分析其恶意软件。–包括隐写术,这是一种巧妙的数据隐藏技术,它掩盖了根本没有任何信息的事实。

对工业物体的针对性攻击有机地吸引了网络安全界的关注:它们复杂且专注于具有关键价值的公司类型。后者工作的任何中断都可能导致各种不良后果,从成功的工业间谍活动到全面的财务损失。
所检查的一系列攻击也不例外。网络钓鱼电子邮件被用作初始攻击媒介,并根据每种特定受害者的特定语言量身定制。仅当操作系统的本地化与网络钓鱼电子邮件中使用的语言匹配时,此攻击中使用的恶意软件才会执行破坏性活动。例如,在攻击来自日本的公司的情况下,网络钓鱼电子邮件的文本和包含恶意宏的Microsoft Office文档都是用日语编写的。另外,要成功解密恶意软件模块,操作系统也必须具有日语本地化版本。

进一步的分析表明,攻击者使用Mimikatz实用程序来窃取存储在受感染系统中的Windows帐户的身份验证数据。攻击者可以使用此信息来访问企业网络中的其他系统并发起攻击。尤其危险的情况是攻击者访问具有域管理员权限的帐户。

在所有检测到的情况下,卡巴斯基安全解决方案均阻止了该恶意软件,从而阻止了攻击者继续其活动。结果,罪犯的最终目标仍然未知。卡巴斯基ICS CERT专家将继续监视类似的新案件。如果遇到此类攻击,则可以使用卡巴斯基网站上的此特殊表格进行报告。

“由于攻击者使用了几种非标准的技术解决方案,因此这种攻击引起了人们的注意。例如,使用隐写方法将恶意软件模块编码在图像内部,并将图像本身托管在合法的Web资源上。所有这些使得使用网络流量监视和控制工具几乎不可能检测到此类恶意软件的下载:从技术解决方案的角度来看,此类活动与对合法映像托管的通常访问没有区别。

结合感染的针对性,这些技术表明了这些攻击的复杂性和选择性。令人担忧的是,工业承包商是袭击的受害者。如果承包商组织员工的身份验证数据落入恶意人员之手,则可能导致许多负面后果,首先是盗窃机密数据,最后是通过承包商使用的远程管理工具对工业企业的攻击,”卡巴斯基安全专家Vyacheslav Kopeytsev说。

“对承包商的攻击再次证明,要使电力设施可靠运行,确保工作站和服务器受到保护至关重要。–在公司和运营技术网络上。尽管强大的端点保护可能足以阻止类似的攻击,但是在这种情况下,我们仍然建议使用最全面的方法来支持工业设施’的网络防御。承包商和供应商的攻击在企业内部可能具有完全不同的入口点,包括OT网络上的入口点。

即使攻击’目标仍然不明确,可以更准确地遵循以下假设:攻击者有可能获得使用该设施的权限’关键系统。现代的网络监视,异常和攻击检测手段可以帮助及时发现对工业控制系统和设备的攻击迹象,并防止可能发生的事件。”

为了减少遭受攻击的风险,建议工业组织:

  • 为企业员工提供有关如何安全使用电子邮件的培训,尤其是识别网络钓鱼电子邮件。
  • 限制Microsoft Office文档中宏的执行。
  • 限制执行PowerShell脚本(如果可能)。
  • 特别注意由Microsoft Office应用程序启动的PowerShell进程启动事件。限制程序接收SeDebugPrivilege特权(如果可能)。
  • 为企业端点安装安全解决方案,例如Kaspersky Endpoint Security for Business,并能够集中管理安全策略,并维护用于安全解决方案的最新防病毒数据库和软件模块。
  • 对OT端点和网络使用安全性解决方案,例如,针对节点的KICS和针对网络的KICS,以确保为所有行业关键系统提供全面保护。
  • 仅在必要时使用具有域管理员权限的帐户。使用此类帐户后,重新启动执行身份验证的系统。
  • 实施密码策略,要求具有复杂性级别和定期更改密码的要求。
  • 最初怀疑系统已被感染后,请执行防病毒检查并为用于登录受感染系统的所有帐户强制更改密码。
     

评论(0)

添加评论

此主题已停止发表新评论。

社论:+44(0)1892 536363
发行人:+44(0)208 440 0372
免费订阅每周电子通讯