卡巴斯基报告利用云基础设施对工业部门发动的攻击
【慧聪通信网】卡巴斯基最近完成了针对东欧工业部门的网络攻击的调查。调查显示,威胁行为者采用了先进的战术、技术和程序(TTP)来破坏该地区的工业组织。制造业、工业控制系统(ICS)工程和集成等行业受到的影响尤为严重,这凸显了加强网络安全准备工作的迫切性。
调查过程中,卡巴斯基发现了一系列针对性的攻击,目的是建立一个永久的数据泄露渠道。这些攻击活动与先前研究的攻击(如Excone和Dexcone)非常相似,表明APT31(又被称为Judgement Panda和Zirconium)也参与其中。
调查揭示了专为远程访问而设计的先进植入物的使用,展示了威胁行为者在绕过安全措施方面的广泛知识和专业能力。这些植入物能够建立持久的数据泄露通道,包括从高度安全的系统中进行数据泄露。
值得注意的是,威胁参与者再次广泛使用 DLL 劫持技术(即滥用合法的第三方可执行文件,这些可执行文件容易受到将恶意动态链接库加载到其内存中)以试图运行在3个攻击阶段使用的多个植入物时避免检测。
Dropbox 和 Yandex Disk 等基于云的数据存储服务以及临时文件共享平台已被用于外泄数据和传输后续恶意软件。他们还在Yandex云以及普通的虚拟专用服务器(VPS)上部署命令和控制(C2)基础设施,以保持对被入侵网络的控制。
在这些攻击中,使用了 FourteenHi 恶意软件的新变种。该恶意软件家族最初于2021年在针对政府实体的 ExCone 攻击活动中被发现,此后不断发展,2022年出现了新的变种,专门针对工业组织的基础设施。
此外,在调查过程中还发现了一种名为MeatBall的新型恶意软件植入物。这种后门植入物具有广泛的远程访问功能。
“我们不能低估工业部门面临的针对性攻击给它们带来的巨大风险。随着组织不断将其运营数字化并依赖于互联系统,对关键基础设施的成功攻击的潜在后果是不可否认的。这项分析强调了实施弹性网络安全措施以保护工业基础设施免受现有和未来威胁的极端重要性,”卡巴斯基ICS CERT高级安全研究员Kirill Kruglov评论说。
要查看关于第一阶段植入物的完整报告,请访问 ICS CERT 网站。
为了保护您的安全运营计算机免受各种威胁的侵害,卡巴斯基专家建议:
· 对安全运营系统进行定期安全评估,以发现和消除可能存在的网络安全问题。
· 建立持续的漏洞评估和分类,作为有效的漏洞管理流程的基础。像卡巴斯基工业网络安全这样的专用解决方案可能会成为一个高效的助手和独特的可操作信息的来源,而这些信息无法通过公开获取。
· 对企业OT网络的关键组件进行及时更新;在技术上可能的情况下尽快应用安全修复和补丁或实施补偿措施,对于防止因生产过程中断而可能造成数百万美元损失的重大事件至关重要。
· 使用诸如卡巴斯基端点检测和响应等EDR解决方案,及时检测复杂威胁,对事件进行调查和有效的修复。
· 通过构建和加强团队的事件预防、检测和响应技能,改进对新的和高级恶意技术的响应。为IT安全团队和OT人员提供专门的OT安全培训是帮助实现这一目标的关键措施之一。