卡巴斯基于2016年6月監(jiān)測到了Operation Ghoul(食尸鬼行動)網絡攻擊,Operation Ghoul針對30多個國家的工業(yè)、制造業(yè)和工程管理機構發(fā)起了定向滲透入侵。卡巴斯基發(fā)現,已經有130多個機構已被確認為這類攻擊的受害者。
??[[170205]]
??
1 介紹
卡巴斯基于2016年6月監(jiān)測到了Operation Ghoul(食尸鬼行動)網絡攻擊,Operation Ghoul針對30多個國家的工業(yè)、制造業(yè)和工程管理機構發(fā)起了定向滲透入侵。目前,卡巴斯基發(fā)現,有130多個機構已被確認為這類攻擊的受害者。
該攻擊最早可以追溯至2015年3月,值得注意的是,攻擊早期目標多為中小企業(yè)涉及金融相關的銀行帳戶和知識產權。
*Ghoul,食尸鬼,阿拉伯傳說中以尸體血肉或幼兒為食的惡魔,今天也為貪婪和物質主義的形容。
2 主要攻擊媒介:惡意郵件
攻擊者以偽造的郵箱地址向受害者發(fā)送惡意電子郵件,郵件包含7z格式的惡意附件或釣魚鏈接。下圖為釣魚郵件樣例,內容像是阿聯酋國家銀行相關的付款文件。
??
??
惡意附件
在魚叉式釣魚郵件中,7z文件包含一個形如Emiratesnbd_Advice .exe的惡意程序,其MD5哈希值如下:
fc8da575077ae3db4f9b5991ae67dab1 b8f6e6a0cb1bcf1f100b8d8ee5cccc4c 08c18d38809910667bbed747b2746201 55358155f96b67879938fe1a14a00dd6
郵件附件MD5哈希值:
5f684750129e83b9b47dc53c96770e09 460e18f5ae3e3eb38f8cae911d447590
為了竊取核心機密和其它重要信息,這些魚叉式郵件主要發(fā)送對象為目標機構的高級管理人員,如:
- 首席執(zhí)行官
- 首席運營官
- 總經理
- 銷售和市場營銷總經理
- 副總經理
- 財務和行政經理
- 業(yè)務發(fā)展經理
- 經理
- 出口部門經理
- 財務經理
- 采購經理
- 后勤主管
- 銷售主管
- 監(jiān)督人員
- 工程師
3 技術細節(jié)
惡意軟件功能
攻擊主要利用Hawkeye商用間諜軟件,它能為攻擊者提供各種工具,另外,其匿名性還能逃避歸因調查。惡意軟件植入后收集目標系統(tǒng)以下信息:
- 按鍵記錄
- 剪貼板數據
- FileZillaFTP服務器憑據
- 本地瀏覽器帳戶數據
- 本地消息客戶端帳戶數據(PalTalk、GoogleTalk,AIM…)
- 本地電子郵件客戶端帳戶數據(Outlook,Windows Live mail…)
- 安裝程序許可證信息
數據竊取
攻擊者主要用以下方式發(fā)送竊取數據:
HTTP方式:
發(fā)送至中轉機 hxxp://192.169.82.86
電子郵件方式:
mail.ozlercelikkapi[.]com (37.230.110.53), mail to info@ozlercelikkapi[.]commail.eminenture[.]com (192.185.140.232), mail to eminfo@eminenture[.]com
ozlercelikkapi[.]com和eminenture[.]com可能屬于被攻擊者前期滲透入侵的制造業(yè)和技術行業(yè)網站。
惡意軟件指令
惡意軟件通過被入侵的中轉系統(tǒng)192.169.82.86收集受害者電腦信息:
hxxp://192.169.82.86/~loftyco/skool/login.php hxxp://192.169.82.86/~loftyco/okilo/login.php
??
??
4 受攻擊機構信息
攻擊者主要對以下幾個國家的工業(yè)領域機構發(fā)起滲透攻擊:
??
??
Other行列為至少有3個工業(yè)機構受到攻擊入侵的國家,其中有:瑞士、直布羅陀、美國、瑞典、中國、法國、阿塞拜疆、伊拉克、土耳其、羅馬尼亞、伊朗、伊拉克和意大利。
受攻擊行業(yè)信息
從受害機構行業(yè)類型分布可以看出,攻擊者主要以制造業(yè)和工業(yè)設備生產機構為主要滲透入侵目標:
??
??
其它攻擊信息
攻擊者針對以下操作系統(tǒng)平臺進行:
- Windows
- Mac OS X
- Ubuntu
- iPhone
- Android
目前惡意軟件的檢測簽名:
trojan.msil.shopbot.ww trojan.win32.fsysna.dfah trojan.win32.generic
5 總結
Operation Ghoul 是針對工業(yè)、制造業(yè)和工程管理機構的網絡攻擊,建議用戶和相關機構:
(1)在查看或打開郵件內容及附件時請務必小心慎重;
(2)為了應對安全威脅,應該針對高級管理人員進行信息安全培訓。
6 IOC威脅指標
惡意軟件相關文件和路徑信息:
C:\Users\%UserName%\AppData\Local\Microsoft\Windows\bthserv.exe C:\Users\%UserName%\AppData\Local\Microsoft\Windows\BsBhvScan.exe C:\Users\%UserName%\AppData\Local\Client\WinHttpAutoProxySync.exe C:\Users\%UserName%\AppData\Local\Client\WdiServiceHost.exe C:\Users\%UserName%\AppData\Local\Temp\AF7B1841C6A70C858E3201422E2D0BEA.dat C:\Users\%UserName%\AppData\Roaming\Helper\Browser.txt C:\Users\%UserName%\AppData\Roaming\Helper\Mail.txt C:\Users\%UserName%\AppData\Roaming\Helper\Mess.txt C:\Users\%UserName%\AppData\Roaming\Helper\OS.txt C:\ProgramData\Mails.txt C:\ProgramData\Browsers.txt
惡意軟件相關域名:
C:\Users\%UserName%\AppData\Local\Microsoft\Windows\bthserv.exe C:\Users\%UserName%\AppData\Local\Microsoft\Windows\BsBhvScan.exe C:\Users\%UserName%\AppData\Local\Client\WinHttpAutoProxySync.exe C:\Users\%UserName%\AppData\Local\Client\WdiServiceHost.exe C:\Users\%UserName%\AppData\Local\Temp\AF7B1841C6A70C858E3201422E2D0BEA.dat C:\Users\%UserName%\AppData\Roaming\Helper\Browser.txt C:\Users\%UserName%\AppData\Roaming\Helper\Mail.txt C:\Users\%UserName%\AppData\Roaming\Helper\Mess.txt C:\Users\%UserName%\AppData\Roaming\Helper\OS.txt C:\ProgramData\Mails.txt C:\ProgramData\Browsers.txt
攻擊活動釣魚鏈接:
hxxp://free.meedlifespeed[.]com/ComCast/ hxxp://emailreferentie.appleid.apple.nl.468213579[.]com hxxp://468213579[.]com/emailreferentie.appleid.apple.nl/emailverificatie-40985443/home/login.php hxxp://verificatie.appleid.apple.nl.referentie.357912468[.]com/emailverificatie-40985443/home/lo… hxxp://192.169.82.86/~gurgenle/verify/webmail/ hxxp://customer.comcast.com.aboranian[.]com/login hxxp://apple-recovery[.]us/ hxxp://apple.security-block[.]com/Apple%20-%20My%20Apple%20ID.html hxxp://cgi.ebay.com-wn[.]in/itm/2000-Jeep-Wrangler-Sport-4×4-/?ViewItem&item=17475607809 hxxp://https.portal.apple.com.idmswebauth.login.html.appidkey.05c7e09b5896b0334b3af1139274f266b2hxxp://2b68.f444c4f547116bfd052461b0b3ab1bc2b445a[.]com/login.html hxxp://www.deluxepharmacy[.]net
【編輯推薦】
- ??美國意欲對伊朗關鍵基礎設施發(fā)動大規(guī)模網絡攻擊??
- ??微軟增強其網絡攻擊防御能力 打造全新黑客防御作戰(zhàn)室??
- ??“工業(yè)物聯網”成網絡攻擊的首要目標??
- ??安天研究報告:白象的舞步——來自南亞次大陸的網絡攻擊??
