跳到主体内容

卡巴斯基揭示了针对工业企业的一系列针对性攻击的新细节

2020年5月28日

被攻击目标列表中包括工业企业的设备和软件供应商。

研究显示,攻击者使用恶意微软Office文档、PowerShell脚本和各种技术,使人们难以发现和分析他们使用的恶意软件。其中包括信息隐写技术,这是一种巧妙的数据隐藏技术,可以掩盖那里有任何信息的事实。

针对工业对象的针对性攻击自然地吸引了网络安全社区的关注:这些攻击时复杂的,并且集中在具有关键价值的企业类型上。这类企业的运转一旦遭到感染,可能会导致不必要的后果,从成功的工业间谍活动到全面的经济损失都可能出现。

分析的这一系列攻击也不例外。网络钓鱼邮件被用作初始攻击媒介,并根据每种特定受害者的特定语言量身定制。攻击中使用的恶意软件只有在操作系统的本地化与钓鱼邮件中使用的语言相匹配时,才会进行破坏性活动。例如,在一起针对一家日本公司的攻击案例中,钓鱼邮件内容以及包含恶意宏的微软Office文档都是使用日语编写的。另外,要成功解密恶意软件模块,操作系统也必须是日语本地化版本。

进一步分析显示,攻击者使用了Mimikatz工具盗窃存储在被入侵的系统上的Windows账户认证数据。攻击者可以使用这些信息获取企业网络内其他系统的访问权限并实施攻击。最危险的情况是攻击者获得对拥有域管理员权限的账户的访问权限。

kaspersky-reveals-new-details-into-series-of-targeted-attacks-on-industrial-companies

详细的攻击方案

在所有发现的案例中,卡巴斯基安全解决方案都拦截了恶意软件,阻止了攻击者的进一步行动。因此,犯罪分子的最终目标仍然是未知的。卡巴斯基ICS CERT专家将继续监控最新和类似的案例。如果您遇到这样的攻击,请使用卡巴斯基网站上的这个特殊表格进行上报。

“这些攻击引起了我们的注意,是因为攻击者使用了一些非标准的技术解决方案。例如,使用隐写方法将恶意软件模块编码在图片内,而图片本身则托管在合法的网络资源上。所有这些手段都使得网络流量监测和控制工具几乎不可能发现这类恶意软件的下载:从技术解决方案角度看,这些行为与平常访问合法图片托管网站没有区别。再加上感染的针对性,这些技术表明了这些攻击的复杂性和有选择性。令人担忧的是,工业承包商也是这些攻击的受害者。如果承包商组织的员工的认证数据落入坏人之手,可能导致很多严重后果,首先是窃取机密数据,最后是通过承包商使用的远程管理工具对工业企业进行攻击,”卡巴斯基安全专家 Vyacheslav Kopeytsev 说。

 “这些针对承包商的攻击再一次表明,对电力设施来源,要想可靠的运行,确保工作站和服务器得到保护非常重要,而且需要在企业网络和操作技术网络都进行保护。虽然强大的端点保护可能足以防止类似的攻击,但在本案例中,我们仍然建议使用最全面的方法来支持工业设施的网络防御。通过承包商和供应商进行的攻击在企业内部可能有完全不同的切入点,包括OT网络上的攻击。即使这些攻击的目的仍然不明确,但假设攻击者的潜在目的是获取设施的关键系统访问权限是没有错的。当今的网络监控、异常和攻击检测手段,有助于及时发现工控系统和设备受到攻击的迹象,防止可能发生的事故,”卡巴斯基工业网络安全解决方案业务负责人Anton Shipulin评论说。

为了降低遭受攻击的风险,建议工业组织采取以下措施:

  • 对企业员工进行安全培训,教导他们如何安全处理电子邮件,特别是如何识别网络钓鱼邮件。
  • 限制微软Office文档中的宏的执行。
  • 限制PowerShell脚本的执行(如果可能的话)。
  • 特别要注意由Microsoft Office应用程序发起的PowerShell进程启动事件。限制程序接收SeDebugPrivilege权限(如果可能的话)。
  • 为企业端点安装安全解决方案,例如卡巴斯基网络安全解决方案。该解决方案具有集中管理安全策略的能力,维护最新的防病毒数据库和安全解决方案的软件模块。
  • 使用针对OT端点和网络的安全解决方案,例如KICS for Nodes和KICS for Networks。确保对所有工业关键系统进行全面保护。
  • 仅在必要时使用具有域管理员权限的账户。 使用此类账户后,重新启动进行身份验证的系统。
  • 实施密码策略,要求密码具有一定的复杂性并要求定期更改密码。
  • 如果初步怀疑系统被感染,请执行反病毒检查并为用于登录受感染系统的所有账户强制更改密码。

要阅读完整版报告,请访问卡巴斯基ICS CERT网站。

关于卡巴斯基

卡巴斯基是一家成立于1997年的全球网络安全公司。卡巴斯基不断将深度威胁情报和安全技术转化成最新的安全解决方案和服务,为全球的企业、关键基础设施、政府和消费者提供安全保护。公司提供全面的安全产品组合,包括领先的端点保护解决方案以及多种针对性的安全解决方案和服务,全面抵御复杂的和不断演化的数字威胁。全球有超过4亿用户使用卡巴斯基技术保护自己,我们还帮助全球250,000家企业客户保护最重要的东西。要了解更多详情,请访问www.kaspersky.com.

关于卡巴斯基 ICS CERT

卡巴斯基工业控制系统网络应急响应小组(卡巴斯基ICS CERT)是卡巴斯基于2016年发起的一个全球性项目,旨在协调自动化系统供应商、工业设施所有者和运营商以及IT安全研究人员的努力,以保护工业企业免受网络攻击。卡巴斯基ICS CERT致力于识别针对工业自动化系统和工业物联网的潜在和现有的威胁。卡巴斯基ICS CERT是提供保护工业企业免受网络威胁的建议的国际组织中的积极成员和合作伙伴。ics-cert.kaspersky.com

卡巴斯基揭示了针对工业企业的一系列针对性攻击的新细节

被攻击目标列表中包括工业企业的设备和软件供应商。
Kaspersky logo

关于卡巴斯基

卡巴斯基是一家成立于1997年的全球网络安全和数字隐私公司。卡巴斯基不断将深度威胁情报和安全技术转化成创新的安全解决方案和服务,为全球的企业、关键基础设施、政府和消费者提供安全保护。公司提供全面的安全产品组合,包括领先的端点保护解决方案以及多种针对性的安全解决方案和服务,以及用于应对复杂和不断变化的数字威胁的网络免疫解决方案。全球有超过4亿用户使用卡巴斯基技术保护自己,我们还帮助全球200,000家企业客户保护最重要的东西。要了解更多详情,请访问www.kaspersky.com.cn.

相关文章 企业新闻