卡巴斯基专家警告针对工业公司的异常间谍软件活动

卡巴斯基实验室的研究人员发现了多个以工业公司为目标的间谍软件活动，以窃取电子邮件帐户凭据并进行欺诈活动。

威胁参与者从受感染的公司帐户向他们的联系人发送鱼叉式网络钓鱼邮件，电子邮件带有恶意附件。攻击者使用现成的间谍软件，但为了避免被发现，他们将每个样本的范围和生命周期限制在最低限度

这些攻击针对的目标数量非常有限，他们使用了几个间谍软件系列，例如AgentTesla /Origin Logger、HawkEye、Noon/ Formbook、Masslogger、Snake Keylogger、Azorult、Lokibot。

卡巴斯基将这些活动标记为“异常”，因为它们的生命周期非常短暂，大约 25 天。

“‘异常’攻击的生命周期被限制在 25 天左右。同时，受攻击的计算机数量不到 100 台，其中 40-45% 是 ICS 机器，其余的则是同一组织 IT 基础设施的一部分。” 阅读卡巴斯基发布的分析。“这已成为一种趋势：在 2021 年上半年，全球 ICS 计算机上被阻止的所有间谍软件样本中，约有 21.2% 是这一新的有限范围短寿命攻击系列的一部分，并且视地区而定，高达所有计算机的六分之一受到间谍软件攻击的人会使用这种策略进行攻击。”

攻击者过去每次攻击针对的系统不到一百个，其中一半以上是部署在工业环境中的 ICS（集成计算机系统）系统。

与常见的间谍软件攻击不同，这些活动中使用的大多数样本都配置为使用基于 SMTP（而不是 FTP 或 HTTP(s)）的 C2 作为单向通信通道，这种情况表明它仅用于泄露数据来自受感染的系统。

卡巴斯基研究人员推测，被盗数据被威胁参与者用于深入入侵网络并针对其他组织以收集更多凭据。

攻击者使用在先前攻击中受损的企业邮箱作为 C2 服务器进行进一步攻击。

“在此类攻击中，我们注意到大量活动从一个工业企业传播到另一个工业企业，通过伪装成受害组织通信的难以检测的网络钓鱼电子邮件并滥用其企业电子邮件系统通过联系人进行攻击受损邮箱列表。” 继续报告。

“奇怪的是，企业反垃圾邮件技术可以帮助攻击者在从受感染机器中窃取被盗凭据时保持不被注意到，方法是使它们在垃圾邮件文件夹中的所有垃圾电子邮件中‘不可见’。”

专家们已经确定了超过 2,000 个属于工业公司的企业电子邮件帐户，这些帐户被用作连续间谍软件活动的 C2 服务器。据估计，被滥用的被盗和出售的公司电子邮件帐户数量超过 7000 个。

攻击者窃取的许多电子邮件 RDP、SMTP、SSH、cPanel 和 VPN 帐户凭据在暗网市场上可用，并出售给其他威胁参与者。

“在这项研究中，我们确定了超过 25 个不同的市场，在这些市场中，在针对我们调查的工业公司的凭证收集活动中被盗的数据正在被出售。在这些市场上，各种卖家提供数千个 RDP、SMTP、SSH、cPanel 和电子邮件帐户，以及恶意软件、欺诈方案以及用于社会工程的电子邮件和网页样本。” 报告结束。 “对市场上出售的 50,000 多个受损 RDP 帐户的元数据进行统计分析显示，1,954 个帐户 (3.9%) 属于工业公司。”