据悉,一场长达数年的网络钓鱼活动正瞄准德国汽车行业公司,试图用恶意软件窃取密码感染其系统,包括德国汽车制造商和汽车经销商,通过克隆该领域各个组织的合法网站,注册了多个相似的域,以便在攻击过程中使用。

这些网站用于发送用德语编写的网络钓鱼电子邮件,并托管下载到目标系统的恶意软件有效负载。


此活动中使用的各种相似域

网络安全解决方案供应商Check Point的研究人员发现了这一活动,并发布了相关的技术报告。报告显示,该网络钓鱼活动于2021年7月左右开始,目前仍在进行中。

瞄准德国汽车行业

感染链始于发送给特定目标的电子邮件,其中包含能够绕过互联网安全控制的ISO映像文件。

例如,下图的网络钓鱼电子邮件假装包含汽车转账收据,发送给目标经销商。

Check Point发现的恶意电子邮件之一

其中还包含一个HTA文件,该文件中有通过HTML走私运行的JavaScript或VBScript代码。

通用感染链

从依赖自动化工具包的“脚本小子”到部署自定义后门的国家级黑客,所有级别的黑客都能使用这种常用技术。

当受害者看到从HTA文件打开的诱饵文档时,恶意代码就会在后台运行,以获取并启动恶意软件有效负载。

诱饵文件



我们发现了这些脚本的多个版本,有些会触发PowerShell代码,有些是纯文本版本。它们都会下载并执行各种MaaS(恶意软件即服务)信息窃取程序。——Check Point

此活动中使用的MaaS信息窃取程序各不相同,包括Raccoon Stealer、AZORult 和 BitRAT,这三个程序都可以在网络犯罪市场和暗网论坛上购买到。

HTA文件的最新版本运行PowerShell代码以更改注册表值并启用Microsoft Office套件中的工具,使得威胁行为者无需诱骗接收者启用宏,并且能够提高有效负载丢弃率。

恶意修改Windows注册表

幕后主使和攻击目标

Check Point表示可以追踪到有14个德国汽车制造行业的相关组织遭到攻击,但是报告中没有提到具体的公司名称。

信息窃取有效载荷被托管在伊朗人注册的网站(“bornagroup[.]ir”)上,而同样的电子邮件被用于钓鱼网站的子域名,例如“groupschumecher[.]com”。

威胁分析人员找到了不同的针对西班牙桑坦德银行客户的网络钓鱼活动链接,支持该活动的网站被托管在伊朗的ISP上。

威胁行为者的基础设施

这场活动很有可能是伊朗的威胁行为者策划的,但Check Point没有足够的证据来证明。该活动很可能是针对这些公司或其客户、供应商和承包商的工业间谍活动或BEC(商业电子邮件泄露)。

威胁行为者发送给目标的电子邮件留有足够的通信空间,使得与受害者建立融洽的关系并获得其信任成为可能,这使得关于BEC的假设更具有可信度。