• 《電子技術應用》
    您所在的位置:首頁 > 通信與網絡 > 業界動態 > 惡意軟件持續攻擊德國汽車制造業近一年

    惡意軟件持續攻擊德國汽車制造業近一年

    2022-05-11
    來源:安全內參

      近日,Check Point的研究人員在報告中揭示了一個針對德國汽車制造業企業的長期惡意軟件攻擊活動。

      攻擊目標包括多家德國汽車制造商和汽車經銷商,攻擊者通過克隆該領域各企業的合法站點(下圖),注冊了多個相似的域以供攻擊使用。

      這些網站用于發送以德語編寫的網絡釣魚電子郵件,并托管下載到目標系統的惡意軟件有效負載。

      根據該報告,攻擊活動于2021年7月左右開始(也可能是3月),目前仍在進行中。

      針對德國汽車工業

      惡意軟件感染鏈始于發送給特定目標的電子郵件,其中包含繞過許多互聯網安全控制的ISO磁盤映像文件。

      例如,下面的網絡釣魚電子郵件假裝包含發送給目標經銷商的汽車轉賬收據。

      微信圖片_20220511165349.png

      該檔案又包含一個HTA文件,該文件包含通過HTML smuggling執行的JavaScript或VBScript代碼。

      微信圖片_20220511165410.png

      惡意軟件的感染鏈

      這是所有技能級別的黑客都經常使用的技術,從依賴自動化工具包的“腳本小子”到部署自定義后門的國家黑客。

      當受害者看到通過HTA文件打開的誘餌文檔時,惡意代碼會在后臺運行,獲取并啟動惡意軟件有效負載。

      安全研究人員指出:“我們發現了這些腳本的多個版本,一些觸發PowerShell代碼,一些經過混淆處理,以及其他純文本版本。它們都下載并執行各種MaaS(惡意軟件即服務)信息竊取程序?!?/p>

      此活動中使用的MaaS信息竊取器各不相同,包括Raccoon Stealer、AZORult和BitRAT。這三個都可以在網絡犯罪市場和暗網論壇上購買。

      在HTA文件的更高版本中,運行PowerShell代碼以更改注冊表值并啟用Microsoft Office套件上的內容。這使得攻擊者無需誘騙接收者啟用宏,從而降低有效負載丟棄率。

      目標和歸因

      Check Point表示,已經追蹤到這些攻擊的14個目標實體,都是與汽車制造行業有一定聯系的德國組織。但是,報告中沒有提到具體的公司名稱。

      信息竊取有效載荷托管在由伊朗人注冊的站點(“bornagroup[.]ir”)上,而同一電子郵件用于網絡釣魚子域名,例如“groupschumecher[.]com”。

      威脅分析人員能夠找到針對桑坦德銀行客戶的不同網絡釣魚活動的鏈接,驗證該活動的網站托管在伊朗ISP上。

    微信圖片_20220511165436.png

      攻擊者的基礎設施

      總而言之,伊朗威脅行為者很有可能策劃了這場運動,但Check Point沒有足夠的證據證明其歸屬。

      最后,關于活動的目標,它很可能是針對這些公司或其客戶、供應商和承包商的工業間諜活動或BEC(商業電子郵件泄露)。

     

    本站內容除特別聲明的原創文章之外,轉載內容只為傳遞更多信息,并不代表本網站贊同其觀點。轉載的所有的文章、圖片、音/視頻文件等資料的版權歸版權所有權人所有。本站采用的非本站原創文章及圖片等內容無法一一聯系確認版權者。如涉及作品內容、版權和其它問題,請及時通過電子郵件或電話通知我們,以便迅速采取適當措施,避免給雙方造成不必要的經濟損失。聯系電話:010-82306116;郵箱:aet@chinaaet.com。
    日本一级婬片免费看