新闻资讯

“食尸鬼行动”攻击30多个国家超过130家企业包括中国

浏览量:363 | 发布时间:2016-08-26 16:28:14

自2015年3月以来,一个组织严密的网络犯罪团伙对超过30个国家逾130家企业开展工业间谍活动。绝大多数受害者为工业领域的中小型企业(30-300员工)。

网络安全厂商卡巴斯基实验室表示,他们将该行动称之为“食尸鬼行动” (Operation Ghoul),行动集中在2016年6月,6月8日—6月27最为活跃。

攻击者以工业领域的企业为目标
       大多数目标企业活跃在工业领域,比如石油化工、海军、军事、航空航天、重型机械、太阳能、刚铁、泵、塑料等行业。该间谍组织还针对其它领域,包括工程、航运、医药、制造、贸易、教育、旅游、IT等。


该组织主要将目标局限在活跃于工业领域的企业,但不具体针对一个国家。攻击范围遍布全球:西班牙(25起)、巴基斯坦(22起)、阿联酋(19)、印度(17)、埃及(16)等。


其它被攻击国家包括英国、德国、南非、葡萄牙、卡塔尔、瑞士直布罗陀、美国、瑞典、中国、法哥、阿塞拜疆、伊拉克、土耳其、罗马尼亚、伊朗、伊拉克和意大利。

攻击者使用“鹰眼”(HawkEyeRAT感染高管
       “食尸鬼”黑客使用HawkEye RAT(远程访问木马),也被称为KeyBase实施攻击。


在2016年6月,研究人员发现了大量鱼叉式网络钓鱼电子邮件中包含恶意附件。附件中的恶意软件基于在暗网公开售卖的“鹰眼”商业间谍软件,为攻击者提供大量黑客工具。一旦安装,它会收集受害者PC的数据,包括:

·         击键

·         剪贴板数据

·         FTP服务器凭证

·         浏览器的账户数据

·         消息客户端的账户数据(Paltalk、Google talk、AIM)

·         电子邮件客户端的账户数据(Outlook、Windows Live邮件)

·         已安装应用程序信息(Microsoft Office)  

攻击者在EXE文件中打包他们的RAT,放在ZIP文件内通过鱼叉式钓鱼邮件发送给目标企业的高管。卡巴斯基表示,这些邮件发送给了首席执行官、首席运营官、经理、工程师、主管、销售等。

卡巴斯基高级安全研究员Mohamad Amin Hasbini表示,“鱼叉式钓鱼邮件大多发送目标机构的高管,很大程度上是因为攻击者希望获取核心情报、其它有趣的信息以及控制账号。”


对于这类攻击,“鹰眼”收集目标数据并通过HTTP以非加密的方式发送至两个服务器中的一个。卡巴斯基表示,这两个服务器属于过去被劫持的合法企业所有。

Mohamad Amin Hasbini称,“在古代民间传说中,食尸鬼是吃人肉和抓孩子的邪恶灵魂,原本是美索不达米亚的恶魔,而如今,这个词有时用来形容贪婪或金钱至上的人。这是对Operation Ghoul的最精切描述。他们的主要动机是通过售卖窃取得来的知识产权、商业情报或受害者的银行账户赚取经济利益。这类组织可能会对任何企业实施攻击。虽然他们使用较简单的恶意工具,但攻击十分有效。因此,如果企业不做好准备很容易遭受攻击。”

工业领域的企业如何免受“食尸鬼行动”攻击?
       为了保护免受Operation Ghoul攻击以及其它类似的威胁,研究人员建议企业采取以下措施:
教育员工,使他们能分辨鱼叉式钓鱼邮件或钓鱼链接。
使用经验证的企业级安全解决方案,结合对抗目标攻击的解决方案,通过分析网络异常发现攻击行为。
为安全员工提供最新威胁情报数据,用有帮助性的工具预防和发现以此进行武装,比如攻击和YARA规则指标。