異常間諜軟件活動竊取工業企業憑證
卡巴斯基研究人員發現了針對工業企業的異常間諜軟件活動,目的是竊取電子郵件賬戶憑據,并進行財務欺詐或將其轉售給其他威脅行為者。攻擊者使用現成的間諜軟件工具,并且在非常有限的時間內部署每個變體,來逃避檢測。這些異常惡意軟件樣本的生命周期只有25天,然后替換成新的樣本,比典型的攻擊要短得多。在攻擊活動中大約45%與ICS設備相關。攻擊中使用的惡意軟件包括:AgentTesla/Origin Logger、HawkEye、Noon/Formbook、Masslogger、Snake Keylogger、Azorult和Lokibot。
卡巴斯基ICS CERT研究人員發現,越來越多的異常間諜軟件攻擊感染了全球ICS計算機。雖然這些攻擊中使用的惡意軟件屬于知名的商業間諜軟件家族,但由于每次攻擊的目標數量非常有限,且每個惡意樣本的生命周期非常短,因此使得研究人員注意到了這些攻擊。
在2021年上半年全球ICS計算機上攔截的所有間諜軟件樣本中,約有21.2%是此類新型的范圍有限且壽命短暫的攻擊。同時在亞洲,多達六分之一的受到間諜軟件攻擊的計算機都是使用這種策略攻擊的。
在研究異常情況過程中,有大量活動從一個工業企業傳播到另一個工業企業,通過偽裝成受害組織通信的難以檢測的網絡釣魚電子郵件,并濫用其企業電子郵件系統通過受感染郵箱的聯系人列表進行攻擊。
總體而言,卡巴斯基已經確定了超過2,000個屬于工業企業的公司電子郵件賬戶,被濫用為下一次攻擊C2服務器,成功進行了此類惡意操作。此外卡巴斯基估計有超過7,000個賬號被盜,并在網絡上出售或以其他方式被濫用。
一、異常間諜軟件攻擊
2021年卡巴斯基注意到,在ICS計算機上攔截的間諜軟件威脅的統計數據中有一個奇怪的異常現象。對2021年上半年攔截的58,586個樣本的分析顯示,與典型攻擊相比,這些樣本中的12,420個(約21.2%)范圍有限且生命周期短暫。這些異常(Anomalous)的攻擊的生命周期被限制在25天左右,而大多數典型間諜軟件活動持續數月甚至數年。同時,被攻擊的計算機數量不到100臺,其中40-45%是ICS機器,而其余的則是同一組織IT基礎設施的一部分。
盡管這些異常的間諜軟件樣本中的生命周期都很短暫,且分布也不廣泛,但它們在所有間諜軟件攻擊中所占的份額卻不成比例。例如在亞洲,每六臺受到間諜軟件攻擊的計算機中就有一臺受到異常間諜軟件樣本的攻擊。在其他地區,大約十分之一的間諜軟件攻擊涉及異常間諜軟件樣本。
商業間諜軟件攻擊的生態系統似乎已經啟動了一系列新的且快速發展的活動,通過快速使用新構建的惡意軟件來縮小每次攻擊的規模,并限制了每個惡意軟件樣本的使用。值得注意的是,在2021年上半年阻止的異常間諜軟件樣本的ICS計算機大部分來自制造和ICS工程與集成行業,這種數據差異是由于這些異常攻擊的性質造成的。
圖1 ICS計算機遭受異常間諜軟件攻擊行業分布
二、間諜軟件分析
在2021年上半年對ICS計算機進行異常攻擊的間諜軟件樣本中,都是相同種類的商業間諜軟件,例如Agent Tesla/Origin Logger、HawkEye、Noon/Formbook、Masslogger、Snake Keylogger、Azorult、Lokibot等。
大多數被阻止的間諜軟件樣本都有多層模糊處理。該技術本質上是基于將二進制代碼隱藏到應用程序的資源中。例如,一種流行的實現涉及使用RGBA將二進制編碼到圖像中來存儲字節。卡巴斯基發現,通用間諜軟件樣本和異常間諜軟件樣本之間的唯一顯著區別是,所使用的C2基礎設施的類型。
三、C2基礎設施
與普通間諜軟件不同,大多數異常樣本都被配置為使用基于SMTP的C2作為單向通信通道,而不是FTP或HTTP(s),這意味著這完全是為了盜竊而設計的。
圖2 異常與普通間諜軟件樣本分布
大約18.9%的異常間諜軟件被配置為連接到受害工業企業的服務器。在異常間諜軟件樣本配置中發現的幾乎所有C2服務器(99.8%)都部署在三個地區,亞洲、歐洲和北美。大多數C2都部署在北美的服務器上,包括部署在工業公司的基礎設施上的C2。
34.6%的受攻擊ICS計算機屬于亞洲公司。但分析顯示,亞洲有大量的中型工業公司擁有公共訪問基礎設施,如DNS、企業網絡和電子郵件服務器,托管在北美而不是亞洲服務器,也就是直接從北美供應商或來自不同的亞洲供應商實際上提供了北美供應商向他們提供的基礎設。
四、戰術、技術和程序
最初竊取的數據被威脅行為者主要用于在受攻擊組織的本地網絡內通過網絡釣魚電子郵件傳播攻擊,并攻擊其他組織以收集更多憑據。對威脅行為者發送的網絡釣魚電子郵件中的源地址和目標地址以及將泄露的憑據轉換為新的C2的分析,揭示了用于將攻擊從受感染的工業企業傳播到其業務和運營合作伙伴的策略。
圖3 威脅行為者的憑據收集和濫用
威脅行為者濫用受害者用戶的被盜憑據(電子郵件賬戶)來發送釣魚電子郵件。該電子郵件通過受感染組織的電子郵件服務器從受感染用戶的賬戶發送到受感染用戶的聯系人列表中的目標。目標包括來自7家工業公司的28個電子郵件賬戶。
卡巴斯基研究人員發現,工業企業有2,000多個被濫用(被間諜軟件用作C2)的電子郵件賬戶。由于這些攻擊而導致憑據被盜的企業電子郵件賬戶總數超過7,000個。
威脅行為者的下一階段活動涉及使用商業電子郵件泄露技術攻擊受害者,該技術旨在使攻擊者能夠進行欺詐,通過分析商業信函和劫持選定的銀行交易。其他威脅行為者則專注于竊取憑證進行銷售,包括:
- 個人金融服務的憑證,如網上銀行賬戶、錢包、加密貨幣交易所等;
- 社交網絡和其他公共互聯網服務的憑證;
- 企業網絡訪問服務(SMTP、SSH、RDP、VPN等)的憑據。
根據間諜軟件收集的截圖和其他間接證據,一些惡意軟件運營商對工業公司及其基礎設施特別感興趣。這種興趣可以通過網絡市場中不同賬戶類型的價格差異來解釋。
在研究早期發現的異常樣本非常有意義。異常樣本的范圍非常有限,而且生命周期非常短,因為威脅行為者會為每封網絡釣魚電子郵件生成獨特的樣本(具有特定的C2配置),通常僅限于上一階段受害者聯系人列表中的地址子集。
當受感染的電子郵件賬戶被用作C2時,反垃圾郵件解決方案通常會檢測到C2流量并將其移至垃圾郵件文件夾。在大多數情況下,在清理文件夾之前不會注意到它。規避反垃圾郵件檢測不符合惡意行為者的利益,因為這會將受害者的注意力轉移到C2流量上,從而發出入侵信號。這就是惡意行為者如何利用網絡安全相關技術為自己謀利的方式。
五、惡意軟件運營商
研究人員對異常間諜軟件攻擊的研究所涵蓋的一些惡意軟件運營商的數據分析,揭示了由數百名獨立運營商開展的憑據收集活動的大局。各種間諜軟件構建器具有在配置階段測試C2的可用性和可訪問性的功能。在SMTP C2情況下,只發送和檢索測試消息。
圖4 成功測試SMTP C2配置可用性
此類消息可提供有關惡意軟件運營商使用的基礎設施的有用信息:測試電子郵件的主題字段包含用戶名、計算機名和發送電子郵件的機器的IP地址。
其他研究已經表明,構建器功能可以包括將某些數據發送給惡意軟件開發人員,這意味著惡意軟件開發人員可以使用它們來監視客戶。向間諜軟件運營商發送問候電子郵件的其他構建器并不包含有關惡意軟件運營商的太多信息,例如HawkEye。
通過對惡意軟件運營商的一些信息的分析(很可能是在他們用于其他日常活動的PC上測試惡意軟件時泄露的),能夠更多地了解惡意軟件運營商的TTP、用來準備攻擊的后端基礎設施、以及他們的日常工作,即在互聯網上使用的各種服務,如租用基礎設施、與其他黑客組織通信、或出售戰利品。分析顯示,其中許多運營商可能與非洲國家有關。
六、惡意軟件開發人員
在過去的5年里,自從一些流行的間諜軟件程序的源代碼被公開以來,它以服務的形式在網上商店中變得高度可用,開發人員出售惡意軟件制造商的許可證,而不是將惡意軟件作為產品出售。
圖5 出售Origin logger的網站截屏
在某些情況下,惡意軟件開發人員出售的不是惡意軟件構建器,而是訪問為構建惡意軟件而預先配置的基礎設施,同時在其之上宣傳一些額外的服務。
許多間諜軟件開發商在社交網絡、論壇和聊天中宣傳他們的產品,甚至制作視頻教程。卡巴斯基研究人員分析了許多惡意軟件開發者發布的所有可用信息來源,即出售2021年在ICS計算機上檢測到的間諜軟件制造商。研究人員能夠通過其運營商跟蹤異常間諜軟件攻擊,直至特定的MaaS基礎設施、其提供商和開發人員。對這些運營商和開發人員交流的社交網絡、聊天和論壇的進一步分析顯示,這些獨立的惡意軟件開發人員和服務提供商中有很大一部分可能會說俄語和土耳其語。
七、交易市場
除了了解威脅運營商以及惡意軟件開發人員和服務提供商使用的惡意軟件服務外,惡意軟件運營商的數據能夠識別用于通過憑證收集攻擊獲利的過程,即在各種市場中銷售被盜憑據。對惡意軟件運營商使用的服務和市場的分析表明,憑證收集活動是各種惡意服務的重要組成部分,從惡意軟件及其基礎設施的開發到交易各種訪問公司網絡的商業平臺。
在研究中,卡巴斯基確定了超過25個不同的市場,工業公司的憑證收集活動中被盜的數據正在被出售。各種賣家提供數千個RDP、SMTP、SSH、cPanel和電子郵件賬戶,以及惡意軟件、欺詐方案、以及用于社會工程的電子郵件和網頁樣本。
對報價和價格的分析揭示了一個趨勢:通過RDP、SSH、SMTP等訪問工業企業網絡的價格比訪問AWS、DigitalOcean、Azure等云托管基礎設施的價格高8-10倍。
除賣家ID外,市場通常不提供賣家信息。對賣方提供的整個賬戶組合的分析表明,賣方專注于某些特定類型的賬戶,一些主要為工業公司網絡提供賬戶。
圖6 出售工業企業網絡的RDP訪問
對市場上出售的50,000多個受損RDP賬戶的元數據進行統計分析顯示,1,954個賬戶(3.9%)屬于工業公司。按國家/地區劃分的受感染工業企業賬戶統計顯示,在市場上出售的賬戶中,超過46%由美國公司擁有,而其余的所有者則位于亞洲、歐洲和拉丁美洲。
八、結論
在全球IT和OT基礎設施中實施安全措施和控制,迫使網絡犯罪生態系統不斷發展。就C2基礎設施和惡意軟件樣本而言,威脅行為者使用的攻擊方法從大規模攻擊轉向小規模和非常短暫的攻擊。另一種策略是從受害者的基礎設施內部傳播攻擊,從而使網絡釣魚電子郵件流量“合法化”。反垃圾郵件技術在受害者的現代郵件系統中普遍存在,因此攻擊者濫用在先前的攻擊階段受到損害的合法郵箱,從而能夠快速更改其C2并限制網絡安全解決方案的檢測。
事實證明,這種策略非常有效,以至于在2021年上半年,它被用來攻擊多達六分之一的被間諜軟件攻擊的ICS計算機。
根據卡巴斯基遙測數據,全球2,000多個工業組織已被納入惡意基礎設施,并被惡意網絡團伙用來將攻擊傳播到其聯系組織和業務合作伙伴。根據卡巴斯基的估計,C2轉換率大約為1/4,在研究期間至少有7,000個公司賬戶受到損害,從這些賬戶中竊取的數據量很難估計。
這些數據可通過多種方式被濫用,包括勒索軟件組織和APT組織等更具破壞性的行為者。如網絡市場分析所示,對提供企業內部系統訪問權限的憑證的需求最高。研究人員統計了在市場上出售的工業企業的近2,000個RDP賬戶,供應似乎滿足需求。
九、緩解措施
卡巴斯基建議采取以下措施,確保工業企業、合作伙伴網絡運營和業務得到充分保護:
考慮為企業電子郵件訪問和其他面向互聯網的服務實施雙重身份驗證,包括RDP、VPN-SSL網關等。攻擊者可能使用這些服務來訪問公司的內部基礎設施和關鍵業務數據;
- 確保IT和OT網絡上的所有端點都受到正確配置,并保持最新的現代端點安全解決方案的保護;
- 定期培訓員工可以安全地處理收到的電子郵件,并保護其系統免受電子郵件附件可能包含的惡意軟件的攻擊;
- 定期檢查垃圾郵件文件夾,而不僅僅是清空;
- 監控組織賬戶在網絡上的暴露情況;
- 考慮使用沙箱解決方案來自動測試入站電子郵件流量中的附件。確保沙箱解決方案配置為不跳過來自“受信任”來源的電子郵件,包括合作伙伴和聯系人組織;
- 也測試出站電子郵件中的附件,這可能會有機會意識到自己受到了損害。
參考資源:
1.https://ics-cert.kaspersky.com/publications/reports/2022/01/19/campaigns-abusing-corporate-trusted-infrastructure-hunt-for-corporate-credentials-on-ics-networks/\
