【安全资讯】Anomalous间谍软件活动窃取工业公司凭证

引言

研究人员发现了几项针对工业企业的间谍软件活动，攻击者旨在窃取电子邮件帐户凭据，并进行财务欺诈活动或将其转售给其他威胁者。攻击中使用的商品恶意软件包括 AgentTesla、HawkEye、Noon/Formbook、Masslogger、Snake Keylogger、Azorult 和 Lokibot。研究人员将这些间谍软件攻击称为Anomalous。

简况

Anomalous间谍软件攻击与该领域的典型攻击相比，生命周期非常短暂。Anomalous攻击的生命周期被限制在25天左右，而大多数间谍软件活动要持续数月甚至数年。恶意样本的生命周期非常短，如下图红色矩形所示：

这些活动中受攻击的系统数量始终低于一百，其中40-45%是部署在工业环境中的 ICS（集成计算机系统）机器。

与大多数标准间谍软件活动中用于 C2 通信的 HTTPS 不同，大多数“Anomalous”样本都被配置为使用基于 SMTP（而不是 FTP 或 HTTP(s)）的 C2 作为单向通信通道。SMTP 是一种单向通道，仅适用于窃取数据。SMTP不是攻击者的常见选择，因为它无法获取二进制文件或其他非文本文件，但它通过其简单性和与常规网络流量混合的能力而蓬勃发展。

攻击者使用通过鱼叉式网络钓鱼获得的凭证深入渗透并在公司网络中横向移动。此外，他们将在先前攻击中受损的企业邮箱用作新攻击的 C2 服务器，这使得恶意内部通信的检测和标记非常具有挑战性。操作图如下：

总结

目前，至少有 2,000 个企业电子邮件帐户被滥用为临时 C2 服务器，另有 7,000 个电子邮件帐户以其他方式被滥用。在这些活动中被盗的电子邮件 RDP、SMTP、SSH、cPanel 和 VPN 帐户凭据都发布在暗网市场上，并最终出售给其他威胁参与者。在这些非法市场出售的 RDP 账户中，约有 3.9% 属于工业公司。