网络罪犯使用心得策略来攻击工业组织——所有这些都是为了猎取企业的凭证

2021年上半年，卡巴斯基ICS CERT专家注意到ICS计算机上阻止的间谍软件威胁统计数据中存在奇怪的异常。尽管这些攻击中使用的恶意软件属于众所周知的商品间谍软件系列，例如Agent Tesla / Origin Logger，HawkEye等，但由于每次攻击中的目标数量非常有限（从少数到几十），并且每个恶意样本的生命周期非常短，因此这些攻击从主流中脱颖而出。对2021年上半年在ICS计算机上拦截的58,586个间谍软件样本进行仔细分析后发现，其中约21.2%属于这种新的有限范围和短寿命的系列攻击。

这些攻击的生命周期被限制在25天左右，这比 “传统 ”间谍软件活动的寿命要短得多。尽管这些“异常”的间谍软件样本的寿命都很短，并且分布不广，但它们在所有间谍软件攻击中所占的比例却很大。例如，在亚洲，每六台受到间谍软件攻击的计算机中就有一台受到"异常"间谍软件样本的攻击（11.9%中有2.1%）。

2021年上半年拦截到间谍软件的ICS计算机的百分比

值得注意的是，大多数这些攻击活动都是通过精心设计的网络钓鱼邮件从一个工业企业到另一个工业企业进行传播的。一旦入侵到受害者的系统，攻击者会使用该设备作为下一次攻击的C2（命令和控制）服务器。由于可以访问受害者的邮件列表，网络罪犯可以滥用企业电子邮件，并进一步传播间谍软件。

通过滥用受害者的联系人列表，作为攻击的一部分发送的电子邮件

根据卡巴斯基ICS CERT的遥测数据，全球已有 2000 多个工业组织被整合到恶意基础设施中，被网络犯罪团伙利用，将攻击传播到其联系人组织和商业伙伴。我们估计，由于这些攻击导致的被破坏或被盗的企业账户总数超过7000个。

这些从ICS计算机上获取到的敏感数据经常会出现在各种市场上。卡巴斯基专家发现了超过25个不同的市场，这些通过工业组织攻击行动中盗取的凭证会在这些市场上出售。对这些市场的分析表明，对公司账户凭证的需求很高，尤其是远程桌面账户（RDP）。在我们分析的市场上出售的所有RDP账户中，超过46%为美国的公司所拥有，而其余的来自亚洲、欧洲和拉丁美洲。在所有出售的RDP账户中，近4%（近2000个账户）属于工业企业。

另一个不断增长的市场是间谍软件服务市场。由于一些流行的间谍软件程序的源代码已被公开，它们已经以服务的形式在在线商店中可供购买——开发人员不仅将恶意软件作为产品出售，而且还出售恶意软件构建者的许可证，并可以访问预先配置的基础架构以构建恶意软件。

“在整个2021年，网络罪犯广泛使用间谍软件攻击工业计算机。今天，我们见证了工业威胁领域出现一个新的快速发展的趋势。为了避免检测，网络罪犯会缩小每次攻击的规模，并通过迅速使用新造的恶意软件样本来限制每个恶意软件样本的使用。其他策略包括滥用企业电子邮件基础设施来传播恶意软件。这与我们之前观察到的间谍软件攻击有所不同，我们预计这种攻击将在未来一年加剧，”卡巴斯基ICS CERT安全专家Kirill Kruglov评论说。

请访问ICS CERT网站阅读有关“异常”间谍软件活动的更多信息。

要了解更多有关2022年ICS以及工业企业面临的威胁，请查看2022年ICS威胁预测。

为了确保工业企业及其合作伙伴网络操作和业务获得足够的保护，卡巴斯基专家建议：

• 为企业邮箱访问和其他面向互联网的服务（包括RDP、VPN-SSL网关等）实施双因素身份验证，因为这些服务可被攻击者用来访问企业内部基础设施和关键业务数据。
• 确保所有的端点，包括IT和OT网络上的端点都得到现代端点安全解决方案的保护，并进行了正确的配置并保持更新状态。
• 定期对员工进行安全培训，让他们了解如何安全地处理电子邮件，并保护其系统免受电子邮件附件可能包含的恶意软件的侵害。
• 定期检查垃圾邮件收件夹，而不是仅仅清空它们。
• 监控您的组织的账户在网络上的暴露情况。
• 使用能够自动测试入站电子邮件流量中的附件的沙盒解决方案。但是，请确保您的沙盒解决方案配置为不会跳过来自“受信任”来源（包括合作伙伴和联系人组织）的电子邮件，因为没有人可以100%地保护自己不受安全损害。
• 检测发送出去的邮件中的附件，确保您本身没有被入侵和感染。

关于卡巴斯基

卡巴斯基是一家成立于1997年的全球网络安全和数字隐私公司。卡巴斯基不断将深度威胁情报和安全技术转化成最新的安全解决方案和服务，为全球的企业、关键基础设施、政府和消费者提供安全保护。公司提供全面的安全产品组合，包括领先的端点保护解决方案以及多种针对性的安全解决方案和服务，全面抵御复杂的和不断演化的数字威胁。全球有超过4亿用户使用卡巴斯基技术保护自己，我们还帮助全球240,000家企业客户保护最重要的东西。要了解更多详情，请访问www.kaspersky.com.