卡巴斯基于2016年6月監測到了operation ghoul(食屍鬼行動)網絡攻擊,operation ghoul針對30多個國家的工業、制造業和工程管理機構發起了定向滲透入侵。目前,卡巴斯基發現,有130多個機構已被确認為這類攻擊的受害者。
該攻擊最早可以追溯至2015年3月,值得注意的是,攻擊早期目标多為中小企業涉及金融相關的銀行帳戶和知識産權。
*ghoul,食屍鬼,阿拉伯傳說中以屍體血肉或幼兒為食的惡魔,今天也為貪婪和物質主義的形容。
攻擊者以僞造的郵箱位址向受害者發送惡意電子郵件,郵件包含7z格式的惡意附件或釣魚連結。下圖為釣魚郵件樣例,内容像是阿聯酋國家銀行相關的付款檔案。
在魚叉式釣魚郵件中,7z檔案包含一個形如emiratesnbd_advice .exe的惡意程式,其md5哈希值如下:
<code>fc8da575077ae3db4f9b5991ae67dab1 b8f6e6a0cb1bcf1f100b8d8ee5cccc4c 08c18d38809910667bbed747b2746201 55358155f96b67879938fe1a14a00dd6</code>
郵件附件md5哈希值:
<code>5f684750129e83b9b47dc53c96770e09 460e18f5ae3e3eb38f8cae911d447590</code>
為了竊取核心機密和其它重要資訊,這些魚叉式郵件主要發送對象為目标機構的進階管理人員,如:
攻擊主要利用hawkeye商用間諜軟體,它能為攻擊者提供各種工具,另外,其匿名性還能逃避歸因調查。惡意軟體植入後收集目标系統以下資訊:
<code>按鍵記錄 剪貼闆資料 filezillaftp 伺服器憑據 本地浏覽器帳戶資料 本地消息用戶端帳戶資料( paltalk 、 googletalk , aim… ) 本地電子郵件用戶端帳戶資料( outlook,windows live mail… ) 安裝程式許可證資訊</code>
攻擊者主要用以下方式發送竊取資料:
http方式:
電子郵件方式:
<code>mail.ozlercelikkapi[.]com (37.230.110.53), mail to info@ozlercelikkapi[.]</code> <code>commail.eminenture[.]com (192.185.140.232), mail to eminfo@eminenture[.]com</code>
ozlercelikkapi[.]com和eminenture[.]com可能屬于被攻擊者前期滲透入侵的制造業和技術行業網站。
惡意軟體通過 被入侵的 中轉系統192.169.82.86收集受害者電腦資訊:
<code>hxxp://192.169.82.86/~loftyco/skool/login.php</code> <code>hxxp://192.169.82.86/~loftyco/okilo/login.php</code>
攻擊者主要對以下幾個國家的工業領域機構發起滲透攻擊:
other行列為至少有3個工業機構受到攻擊入侵的國家,其中有:瑞士、直布羅陀、美國、瑞典、中國、法國、阿塞拜疆、伊拉克、土耳其、羅馬尼亞、伊朗、伊拉克和意大利。
從受害機構行業類型分布可以看出,攻擊者主要以制造業和工業裝置生産機構為主要滲透入侵目标:
2016年6月,最新的攻擊主要集中在以下國家:
攻擊者針對以下作業系統平台進行:
<code>windows mac os x ubuntu iphone android</code>
目前惡意軟體的檢測簽名:
<code>trojan.msil.shopbot.ww trojan.win32.fsysna.dfah trojan.win32.generic</code>
operation ghoul 是針對工業、制造業和工程管理機構的網絡攻擊,建議使用者和相關機構:
(1)在檢視或打開郵件内容及附件時請務必小心慎重;
(2)為了應對安全威脅,應該針對進階管理人員進行資訊安全教育訓練。
惡意軟體相關檔案和路徑資訊:
<code>c:/users/%username%/appdata/local/microsoft/windows/bthserv.exe c:/users/%username%/appdata/local/microsoft/windows/bsbhvscan.exe c:/users/%username%/appdata/local/client/winhttpautoproxysync.exe c:/users/%username%/appdata/local/client/wdiservicehost.exe c:/users/%username%/appdata/local/temp/af7b1841c6a70c858e3201422e2d0bea.dat c:/users/%username%/appdata/roaming/helper/browser.txt c:/users/%username%/appdata/roaming/helper/mail.txt c:/users/%username%/appdata/roaming/helper/mess.txt c:/users/%username%/appdata/roaming/helper/os.txt c:/programdata/mails.txt c:/programdata/browsers.txt</code>
惡意軟體相關域名:
<code>indyproject[.]org studiousb[.]com copylines[.]biz glazeautocaree[.]com brokelimiteds[.]in meedlifespeed[.]com 468213579[.]com 468213579[.]com 357912468[.]com aboranian[.]com apple-recovery[.]us security-block[.]com com-wn[.]in f444c4f547116bfd052461b0b3ab1bc2b445a[.]com deluxepharmacy[.]net katynew[.]pw mercadojs[.]com</code>
攻擊活動釣魚連結:
<code>hxxp://free.meedlifespeed[.]com/comcast/ hxxp://emailreferentie.appleid.apple.nl.468213579[.]com hxxp://468213579[.]com/emailreferentie.appleid.apple.nl/emailverificatie-40985443/home/login.php hxxp://verificatie.appleid.apple.nl.referentie.357912468[.]com/emailverificatie-40985443/home/lo… hxxp://192.169.82.86/~gurgenle/verify/webmail/ hxxp://customer.comcast.com.aboranian[.]com/login hxxp://apple-recovery[.]us/ hxxp://apple.security-block[.]com/apple%20-%20my%20apple%20id.html hxxp://cgi.ebay.com-wn[.]in/itm/2000-jeep-wrangler-sport-4×4-/?viewitem&item=17475607809 hxxp://https.portal.apple.com.idmswebauth.login.html.appidkey.05c7e09b5896b0334b3af1139274f266b2hxxp://2b68.f444c4f547116bfd052461b0b3ab1bc2b445a[.]com/login.html hxxp://www.deluxepharmacy[.]net</code>
原文釋出時間:2017年3月24日
本文由:freebuf釋出,版權歸屬于原作者
原文連結:http://toutiao.secjia.com/operation-ghoul-action-interpretation-ics-security
本文來自雲栖社群合作夥伴安全加,了解相關資訊可以關注安全加網站