卡巴斯(si)基(ji) ICS CERT 公布了(le)其研(yan)(yan)究系列的最后一(yi)部分,這部分重點研(yan)(yan)究了(le)針對東歐工業組織(zhi)的攻擊。此最新(xin)公告調查了(le)第三階(jie)段惡意(yi)軟(ruan)(ruan)件(jian),該階(jie)段惡意(yi)軟(ruan)(ruan)件(jian)用來�����將文件(jian)上������傳到 Dropbox,并�����(bing)與其(qi)他惡意(yi)軟件植入程序協調(diao)以竊取(qu)數(shu)據(ju)。
第三階段的數據(ju)泄(xie)露活動本身涉及一(yi)個三步惡意軟件執行鏈。首先,此(ci)執行鏈建立持久(jiu)性(xing)并(bing)協調第二步惡意�������軟件模塊的部署和啟動。
������該模(mo)(mo)塊(kuai)負責在第三(san)步模(mo)(mo)塊(kuai)的(de)(de)幫(bang)助下(xia)將(jiang)收集(ji)到的(de)(de)文件(jian)上(shang)傳到遠程服務器。這種復雜(za)的(de)(de)架構允許威脅(xie)行(xing)(xing)為者(zhe)通過替換鏈(lian)中(zhong)的(de)(de)單個模(mo)(mo)塊(kuai)來重(�����zhong)新(xin)調整執行(xing)(xing)流(liu)程。在某些(xie)情況下(xia),該執行(xing)(xing)鏈(lian)可(ke)用于從與互聯(lian)網(wang)隔(ge)離的(de)(de)網(wang)段進(jin)行(xing)(xing)數據泄露,方法是(shi)為受害者(zhe)網(wang)絡內的(de)(de)被盜數據設置中(zhong)間/代(dai)理存儲。
在這(zhe)場不(bu)斷演變的網絡(luo)攻(gong)擊活動中(zhong),威脅(xie)行為者部署了一個(ge)惡意軟件鏈,用(yong)于(y��������u)訪問 Outlook 郵箱文件、執行遠程命(ming)令(ling)以及將本地或遠程“.rar”文件(jian)上傳到 Dropbox。
此外,我(wo)們的調(diao)查������還強調(diao)了手動數據(ju)傳輸工具的使用(yong)。其中一個工具專(zhuan)門用(yong)于將文件(jian)移入或移出 Yandex Disk,而另一(yi)個工具則可將文件輕松(song)上傳到 16 個臨時文件共享(xiang)服(fu)務。第三個工具(ju)是(shi)從 Yandex Disk 下載的(de),具(ju)有將(jiang)植入鏈執行日志數據發送到 Yandex 郵(you)件賬(zhang)戶的功能。
通過(guo)這些發(fa)現,我們可以一窺威脅行為者復雜(za)的數據泄露技術。
“我們(men)的(de)全面(mian)分析強調了(le)威脅行為��������者在(zai)獲(huo)取敏感數據(ju)時的(de)高適(shi)應性(xing)。通過揭示這些高級植入物的(de)機制,我們(men)為網絡(luo)安全社(she)區提(ti)供了(le)關鍵知識,以加(jia)強對日益復(fu)雜(za)的(de)攻擊(ji)的(de)防御(yu)。”
為了(le)保(bao)護您(nin)的(de) OT 計算機(ji)免遭各(ge)類威(wei)脅的侵(qin)害,卡(ka)巴斯(si)基(ji)專(zh�����uan)家建議:
對 OT 系統(tong)進行定期的安全評估,以發現和消(xiao)除可能存(cun)在的網絡安全問題。
建立持續的(de)漏(lou)(lou)洞評估和(he)分類系統,作(zuo)為有效漏(lou)(lou)洞管理流程的(de)基(ji)礎。像卡巴斯基(ji)工業網絡安(an)全這樣的(de)專(zhuan)用解決方案(an)可能(neng)會成為一個有效的(de)助手和(he)獨特的(de)可操(cao)作(zuo)信息的(de)來源,而這些信息不是(shi)完全公開(kai������)的(de)。
對(dui)企業 OT 網絡(luo)的(de)關鍵組(zu)件進行及時更新;�����在(zai)技(ji)術(shu)上可行的(de)情況下(xia)盡(jin)快應用安全���修復(fu)和補(bu)丁或實(shi)施(shi)補(bu)償措施(shi),這(zhe)對于防止因生產過(guo)程中(zhong)斷而可能造成數百萬美元損失的(de)重大事件至關重要。
使用(yong)集(ji)成式攻(gong)擊檢(jian)測和(he)(he)防(fang)御解決(jue)方(������fang)案(如卡巴斯(si)基工業網絡安全),以及時�����檢(jian)測和(he)(he)預(yu)防(fang)復雜(za)威脅(xie)、進行調(diao)查和(he)(he)有效的事件修復。
通過建立和加(jia)強�������團隊的事件預(yu)防、檢測(ce)和響應技能,改進對(dui)最新和高級惡(e)意技術的響應能力。為 IT 安全團隊(dui)和 OT 人員提供專門的 OT 安全(quan)培訓是可以幫助實現這一目標的關鍵措(cuo)施之一。
