“食尸鬼行动”攻击30多个国家超过130家企业包括中国

自2015年3月以来，一个组织严密的网络犯罪团伙对超过30个国家逾130家企业开展工业间谍活动。绝大多数受害者为工业领域的中小型企业（30-300员工）。

网络安全厂商卡巴斯基实验室表示，他们将该行动称之为“食尸鬼行动” （Operation Ghoul），行动集中在2016年6月，6月8日—6月27最为活跃。

攻击者以工业领域的企业为目标
       大多数目标企业活跃在工业领域，比如石油化工、海军、军事、航空航天、重型机械、太阳能、刚铁、泵、塑料等行业。该间谍组织还针对其它领域，包括工程、航运、医药、制造、贸易、教育、旅游、IT等。

该组织主要将目标局限在活跃于工业领域的企业，但不具体针对一个国家。攻击范围遍布全球：西班牙（25起）、巴基斯坦（22起）、阿联酋（19）、印度（17）、埃及（16）等。

其它被攻击国家包括英国、德国、南非、葡萄牙、卡塔尔、瑞士直布罗陀、美国、瑞典、中国、法哥、阿塞拜疆、伊拉克、土耳其、罗马尼亚、伊朗、伊拉克和意大利。

攻击者使用“鹰眼”（HawkEye）RAT感染高管
       “食尸鬼”黑客使用HawkEye RAT（远程访问木马），也被称为KeyBase实施攻击。

在2016年6月，研究人员发现了大量鱼叉式网络钓鱼电子邮件中包含恶意附件。附件中的恶意软件基于在暗网公开售卖的“鹰眼”商业间谍软件，为攻击者提供大量黑客工具。一旦安装，它会收集受害者PC的数据，包括：

·         击键

·         剪贴板数据

·         FTP服务器凭证

·         浏览器的账户数据

·         消息客户端的账户数据（Paltalk、Google talk、AIM）

·         电子邮件客户端的账户数据（Outlook、Windows Live邮件）

·         已安装应用程序信息（Microsoft Office）  

攻击者在EXE文件中打包他们的RAT，放在ZIP文件内通过鱼叉式钓鱼邮件发送给目标企业的高管。卡巴斯基表示，这些邮件发送给了首席执行官、首席运营官、经理、工程师、主管、销售等。

卡巴斯基高级安全研究员Mohamad Amin Hasbini表示，“鱼叉式钓鱼邮件大多发送目标机构的高管，很大程度上是因为攻击者希望获取核心情报、其它有趣的信息以及控制账号。”

对于这类攻击，“鹰眼”收集目标数据并通过HTTP以非加密的方式发送至两个服务器中的一个。卡巴斯基表示，这两个服务器属于过去被劫持的合法企业所有。

Mohamad Amin Hasbini称，“在古代民间传说中，食尸鬼是吃人肉和抓孩子的邪恶灵魂，原本是美索不达米亚的恶魔，而如今，这个词有时用来形容贪婪或金钱至上的人。这是对Operation Ghoul的最精切描述。他们的主要动机是通过售卖窃取得来的知识产权、商业情报或受害者的银行账户赚取经济利益。这类组织可能会对任何企业实施攻击。虽然他们使用较简单的恶意工具，但攻击十分有效。因此，如果企业不做好准备很容易遭受攻击。”

工业领域的企业如何免受“食尸鬼行动”攻击？
       为了保护免受Operation Ghoul攻击以及其它类似的威胁，研究人员建议企业采取以下措施：
教育员工，使他们能分辨鱼叉式钓鱼邮件或钓鱼链接。
使用经验证的企业级安全解决方案，结合对抗目标攻击的解决方案，通过分析网络异常发现攻击行为。
为安全员工提供最新威胁情报数据，用有帮助性的工具预防和发现以此进行武装，比如攻击和YARA规则指标。