卡巴斯基 ICS CERT 公布了其研究系列的最后一部分,這部分重點(diǎn)研究了針對(duì)東歐工業(yè)組織的攻擊��。此最新公告調(diào)查了第三階段惡意軟件�����,該階段惡意軟件用來(lái)將文件上傳到 Dropbox�����,并與其他惡意軟件植入程序協(xié)調(diào)以竊取數(shù)據(jù)�����。
第三階段的數(shù)據(jù)泄露活動(dòng)本身涉及一個(gè)三步惡意軟件執(zhí)行鏈�。首先���,此執(zhí)行鏈建立持久性并協(xié)調(diào)第二步惡意軟件模塊的部署和啟動(dòng)。
該模塊負(fù)責(zé)在第三步模塊的幫助下將收集到的文件上傳到遠(yuǎn)程服務(wù)器��。這種復(fù)雜的架構(gòu)允許威脅行為者通過(guò)替換鏈中的單個(gè)模塊來(lái)重新調(diào)整執(zhí)行流程���。在某些情況下��,該執(zhí)行鏈可用于從與互聯(lián)網(wǎng)隔離的網(wǎng)段進(jìn)行數(shù)據(jù)泄露,方法是為受害者網(wǎng)絡(luò)內(nèi)的被盜數(shù)據(jù)設(shè)置中間/代理存儲(chǔ)���。
在這場(chǎng)不斷演變的網(wǎng)絡(luò)攻擊活動(dòng)中,威脅行為者部署了一個(gè)惡意軟件鏈���,用于訪問(wèn) Outlook 郵箱文件���、執(zhí)行遠(yuǎn)程命令以及將本地或遠(yuǎn)程“.rar”文件上傳到 Dropbox。
此外�,我們的調(diào)查還強(qiáng)調(diào)了手動(dòng)數(shù)據(jù)傳輸工具的使用。其中一個(gè)工具專(zhuān)門(mén)用于將文件移入或移出 Yandex Disk�����,而另一個(gè)工具則可將文件輕松上傳到 16 個(gè)臨時(shí)文件共享服務(wù)����。第三個(gè)工具是從 Yandex Disk 下載的�,具有將植入鏈執(zhí)行日志數(shù)據(jù)發(fā)送到 Yandex 郵件賬戶(hù)的功能。
通過(guò)這些發(fā)現(xiàn)�,我們可以一窺威脅行為者復(fù)雜的數(shù)據(jù)泄露技術(shù)。
“我們的全面分析強(qiáng)調(diào)了威脅行為者在獲取敏感數(shù)據(jù)時(shí)的高適應(yīng)性���。通過(guò)揭示這些高級(jí)植入物的機(jī)制����,我們?yōu)榫W(wǎng)絡(luò)安全社區(qū)提供了關(guān)鍵知識(shí)�����,以加強(qiáng)對(duì)日益復(fù)雜的攻擊的防御���!
為了保護(hù)您的 OT 計(jì)算機(jī)免遭各類(lèi)威脅的侵害�,卡巴斯基專(zhuān)家建議:
對(duì) OT 系統(tǒng)進(jìn)行定期的安全評(píng)估,以發(fā)現(xiàn)和消除可能存在的網(wǎng)絡(luò)安全問(wèn)題����。
建立持續(xù)的漏洞評(píng)估和分類(lèi)系統(tǒng),作為有效漏洞管理流程的基礎(chǔ)���。像卡巴斯基工業(yè)網(wǎng)絡(luò)安全這樣的專(zhuān)用解決方案可能會(huì)成為一個(gè)有效的助手和獨(dú)特的可操作信息的來(lái)源���,而這些信息不是完全公開(kāi)的��。
對(duì)企業(yè) OT 網(wǎng)絡(luò)的關(guān)鍵組件進(jìn)行及時(shí)更新�����;在技術(shù)上可行的情況下盡快應(yīng)用安全修復(fù)和補(bǔ)丁或?qū)嵤┭a(bǔ)償措施�,這對(duì)于防止因生產(chǎn)過(guò)程中斷而可能造成數(shù)百萬(wàn)美元損失的重大事件至關(guān)重要�����。
使用集成式攻擊檢測(cè)和防御解決方案(如卡巴斯基工業(yè)網(wǎng)絡(luò)安全)���,以及時(shí)檢測(cè)和預(yù)防復(fù)雜威脅、進(jìn)行調(diào)查和有效的事件修復(fù)��。
通過(guò)建立和加強(qiáng)團(tuán)隊(duì)的事件預(yù)防����、檢測(cè)和響應(yīng)技能,改進(jìn)對(duì)最新和高級(jí)惡意技術(shù)的響應(yīng)能力�。為 IT 安全團(tuán)隊(duì)和 OT 人員提供專(zhuān)門(mén)的 OT 安全培訓(xùn)是可以幫助實(shí)現(xiàn)這一目標(biāo)的關(guān)鍵措施之一。
