工业间谍攻击在行动：正在针对工业资产部署新的工具集

攻击使用的工具集最初被恶意软件作者命名为MT3，卡巴斯基将其称为“MontysThree”。这种工具集使用多种手段来躲避检测，包括将其通讯控制服务器托管在公共云服务中，并且使用隐写技术隐藏主要的恶意模块。

政府实体、外交人士和电信运营商往往是APT攻击的首选目标，因为这些个人和机构天然拥有大量高度机密和具有政治敏感性的信息。更为罕见的则是针对工业实体的间谍攻击行动——但是，就像任何其他针对工业行业的攻击一样，它们会给企业带来毁灭性的后果。因此，在注意到MontysThree的活动后，卡巴斯基的研究人员很快注意到了这一点。

要实施其间谍攻击活动，MontysThree 部署了一个由四个模块组成的恶意软件。第一个模块——即加载器模块，最初使用RAR SFX文件（自解压档案）进行传播，其中包含与员工联系名单、技术文档和医疗分析结果有关的名称，以欺骗员工下载这些文件。这是一种常见的鱼叉式钓鱼攻击技巧。加载器主要负责确保恶意软件不会在系统上被检测出来，为了实现这一点，它部署了一种被称为隐写技术的手段。

威胁行为者使用隐写技术来隐藏数据被交换的事实。在MontysThree的攻击案例中，主要的恶意有效载荷伪装成一个位图（一种存储数字图像的格式）文件。如果输入正确的命令，加载器会使用定制的算法从像素阵列中解密内容并运行恶意有效载荷。

主要恶意有效载荷使用多个加密技术来躲避检测，即使用RSA算法对与控制服务器的通信进行加密，并对恶意软件分配的主要“任务”进行解密。这包括在特定的公司目录中查找特定扩展名的文档。MontysThree 被设计成专门窃取Microsoft 和 Adobe Acrobat 文档；他还能够截取屏幕和目标“指纹”（即有关受害者网络设置、主机名称等信息），以判断攻击者是否对目标感兴趣。

收集到的信息以及与控制服务器的其他通信会托管在谷歌、微软和Dropbox等公共云服务上。这使得很难讲这种通讯流量监测为恶意的，因为没有反病毒产品会拦截这些服务，所以可以确保控制服务器可以不间断地执行命令。

MontysThree还使用一种简单的方法来获得在受感染系统上的持久性——即 Windows 快速启动修改器。用户在使用快速启动工具栏时，每次运行浏览器等合法应用时，都会无意中自行运行恶意软件的初始模块。

卡巴斯基未发现该恶意软件的恶意代码或基础设施与任何已知的APT有任何相似之处。

“MontysThree之所以有趣，不仅是因为它的攻击目标是工业资产，还因为它整合了复杂的和有点“业余”的TTP（策略、技术和流程）。通常来说，其复杂程度因模块而异，但不能与最先进的APT使用的技术水平相提并论。不过，它们确实使用了强大的加密标准，而且做出了一些精通技术的决策，包括定制的隐写技术。也许最重要的是，攻击者很显然在开发MontysThree工具集方面付出了巨大的努力，这表明他们的目的很明确——而且这意味着这并不是一场短暂的攻击行动，”卡巴斯基全球研究和分析团队高级安全研究员Denis Legezo评论说。

更多有关MontysThree的详情，请访问Securelist. 有关该威胁组织的感染迹象详情，包括文件哈希值等信息，请访问卡巴斯基威胁情报门户。

注册 SAS@Home，以观看有关MontysThree的演示以及更多 APT 和顶级网络安全发现。请访问：https://kas.pr/tr59

要保护您的组织不受MontysThree之类攻击的侵害，卡巴斯基专家建议：

• 为您的员工提供基础的网络安全卫生知识培训，因为很多针对性攻击都是通过网络钓鱼或其他社交工程手段开始的。进行模拟钓鱼攻击，确保员工知道如何区分网络钓鱼邮件。
• 为您的 SOC 团队提供对最新威胁情报（TI）的访问。卡巴斯基威胁情报门户网站是卡巴斯基威胁情报的一站式访问点，提供卡巴斯基超过20年来收集的网络攻击数据以及见解。
• 为了实现端点级别的检测和及时的调查和修复，请部署EDR解决方案，例如卡巴斯基端点检测和响应。
• 除了采用基础的端点保护外，请部署能够在早期阶段在网络层面检测高级威胁的企业级安全解决方案，例如卡巴斯基反针对性攻击平台。
• 确保您的工业端点和企业端点都得到保护。卡巴斯基工业网络安全解决方案包括对端点的专门保护和网络监控，可以揭示工业网络中任何可疑和潜在的恶意活动。

关于卡巴斯基

卡巴斯基是一家成立于1997年的全球网络安全公司。卡巴斯基不断将深度威胁情报和安全技术转化成最新的安全解决方案和服务，为全球的企业、关键基础设施、政府和消费者提供安全保护。公司提供全面的安全产品组合，包括领先的端点保护解决方案以及多种针对性的安全解决方案和服务，全面抵御复杂的和不断演化的数字威胁。全球有超过4亿用户使用卡巴斯基技术保护自己，我们还帮助全球250,000家企业客户