工控领域的网络攻击 食尸鬼行动深入解读Operation Ghoul-阿里云开发者社区

开发者社区> 晚来风急> 正文

工控领域的网络攻击 食尸鬼行动深入解读Operation Ghoul

简介:
+关注继续查看

卡巴斯基于2016年6月监测到了Operation Ghoul(食尸鬼行动)网络攻击,Operation Ghoul针对30多个国家的工业、制造业和工程管理机构发起了定向渗透入侵。目前,卡巴斯基发现,有130多个机构已被确认为这类攻击的受害者。

该攻击最早可以追溯至2015年3月,值得注意的是,攻击早期目标多为中小企业涉及金融相关的银行帐户和知识产权。

*Ghoul,食尸鬼,阿拉伯传说中以尸体血肉或幼儿为食的恶魔,今天也为贪婪和物质主义的形容。

主要攻击媒介:恶意邮件

攻击者以伪造的邮箱地址向受害者发送恶意电子邮件,邮件包含7z格式的恶意附件或钓鱼链接。下图为钓鱼邮件样例,内容像是阿联酋国家银行相关的付款文件。

恶意附件

在鱼叉式钓鱼邮件中,7z文件包含一个形如Emiratesnbd_Advice .exe的恶意程序,其MD5哈希值如下:

fc8da575077ae3db4f9b5991ae67dab1 b8f6e6a0cb1bcf1f100b8d8ee5cccc4c 08c18d38809910667bbed747b2746201 55358155f96b67879938fe1a14a00dd6

邮件附件MD5哈希值:

5f684750129e83b9b47dc53c96770e09 460e18f5ae3e3eb38f8cae911d447590

为了窃取核心机密和其它重要信息,这些鱼叉式邮件主要发送对象为目标机构的高级管理人员,如:

首席执行官  首席运营官  总经理  销售和市场营销总经理  副总经理  
财务和行政经理  业务发展经理  经理  出口部门经理  财务经理  
采购经理  后勤主管  销售主管  监督人员  工程师

Operation Ghoul(食尸鬼行动)技术细节

恶意软件功能

攻击主要利用Hawkeye商用间谍软件,它能为攻击者提供各种工具,另外,其匿名性还能逃避归因调查。恶意软件植入后收集目标系统以下信息:

按键记录 剪贴板数据 FileZillaFTP 服务器凭据 本地浏览器帐户数据 本地消息客户端帐户数据( PalTalk 、 GoogleTalk , AIM… ) 本地电子邮件客户端帐户数据( Outlook,Windows Live mail… ) 安装程序许可证信息

数据窃取方式主要是Http及邮件

攻击者主要用以下方式发送窃取数据:

HTTP方式:

发送至中转机 hxxp://192.169.82.86

电子邮件方式:

mail.ozlercelikkapi[.]com (37.230.110.53), mail to info@ozlercelikkapi[.]

commail.eminenture[.]com (192.185.140.232), mail to eminfo@eminenture[.]com

ozlercelikkapi[.]com和eminenture[.]com可能属于被攻击者前期渗透入侵的制造业和技术行业网站。

恶意软件指令

恶意软件通过 被入侵的 中转系统192.169.82.86收集受害者电脑信息:

hxxp://192.169.82.86/~loftyco/skool/login.php

hxxp://192.169.82.86/~loftyco/okilo/login.php

被Operation Ghoul(食尸鬼行动)攻击的国家及地区

攻击者主要对以下几个国家的工业领域机构发起渗透攻击:

Other行列为至少有3个工业机构受到攻击入侵的国家,其中有:瑞士、直布罗陀、美国、瑞典、中国、法国、阿塞拜疆、伊拉克、土耳其、罗马尼亚、伊朗、伊拉克和意大利。

被Operation Ghoul(食尸鬼行动)攻击的行业统计

从受害机构行业类型分布可以看出,攻击者主要以制造业和工业设备生产机构为主要渗透入侵目标:

2016年6月,最新的攻击主要集中在以下国家:

其它攻击信息

攻击者针对以下操作系统平台进行:

Windows Mac OS X Ubuntu iPhone Android

目前恶意软件的检测签名:

trojan.msil.shopbot.ww trojan.win32.fsysna.dfah trojan.win32.generic

Operation Ghoul(食尸鬼行动)总结

Operation Ghoul 是针对工业、制造业和工程管理机构的网络攻击,建议用户和相关机构:

(1)在查看或打开邮件内容及附件时请务必小心慎重;

(2)为了应对安全威胁,应该针对高级管理人员进行信息安全培训。

Operation Ghoul(食尸鬼行动) IOC威胁指标

恶意软件相关文件和路径信息:

C:/Users/%UserName%/AppData/Local/Microsoft/Windows/bthserv.exe C:/Users/%UserName%/AppData/Local/Microsoft/Windows/BsBhvScan.exe C:/Users/%UserName%/AppData/Local/Client/WinHttpAutoProxySync.exe C:/Users/%UserName%/AppData/Local/Client/WdiServiceHost.exe C:/Users/%UserName%/AppData/Local/Temp/AF7B1841C6A70C858E3201422E2D0BEA.dat C:/Users/%UserName%/AppData/Roaming/Helper/Browser.txt C:/Users/%UserName%/AppData/Roaming/Helper/Mail.txt C:/Users/%UserName%/AppData/Roaming/Helper/Mess.txt C:/Users/%UserName%/AppData/Roaming/Helper/OS.txt C:/ProgramData/Mails.txt C:/ProgramData/Browsers.txt

恶意软件相关域名:

Indyproject[.]org Studiousb[.]com copylines[.]biz Glazeautocaree[.]com Brokelimiteds[.]in meedlifespeed[.]com 468213579[.]com 468213579[.]com 357912468[.]com aboranian[.]com apple-recovery[.]us security-block[.]com com-wn[.]in f444c4f547116bfd052461b0b3ab1bc2b445a[.]com deluxepharmacy[.]net katynew[.]pw Mercadojs[.]com

攻击活动钓鱼链接:

hxxp://free.meedlifespeed[.]com/ComCast/ hxxp://emailreferentie.appleid.apple.nl.468213579[.]com hxxp://468213579[.]com/emailreferentie.appleid.apple.nl/emailverificatie-40985443/home/login.php hxxp://verificatie.appleid.apple.nl.referentie.357912468[.]com/emailverificatie-40985443/home/lo… hxxp://192.169.82.86/~gurgenle/verify/webmail/ hxxp://customer.comcast.com.aboranian[.]com/login hxxp://apple-recovery[.]us/ hxxp://apple.security-block[.]com/Apple%20-%20My%20Apple%20ID.html hxxp://cgi.ebay.com-wn[.]in/itm/2000-Jeep-Wrangler-Sport-4×4-/?ViewItem&item=17475607809 hxxp://https.portal.apple.com.idmswebauth.login.html.appidkey.05c7e09b5896b0334b3af1139274f266b2hxxp://2b68.f444c4f547116bfd052461b0b3ab1bc2b445a[.]com/login.html hxxp://www.deluxepharmacy[.]net



原文发布时间:2017年3月24日
本文由:freebuf发布,版权归属于原作者
原文链接:http://toutiao.secjia.com/operation-ghoul-action-interpretation-ics-security
本文来自云栖社区合作伙伴安全加,了解相关信息可以关注安全加网站

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
使用NAT网关轻松为单台云服务器设置多个公网IP
在应用中,有时会遇到用户询问如何使单台云服务器具备多个公网IP的问题。 具体如何操作呢,有了NAT网关这个也不是难题。
26743 0
阿里云服务器怎么设置密码?怎么停机?怎么重启服务器?
如果在创建实例时没有设置密码,或者密码丢失,您可以在控制台上重新设置实例的登录密码。本文仅描述如何在 ECS 管理控制台上修改实例登录密码。
9497 0
windows server 2008阿里云ECS服务器安全设置
最近我们Sinesafe安全公司在为客户使用阿里云ecs服务器做安全的过程中,发现服务器基础安全性都没有做。为了为站长们提供更加有效的安全基础解决方案,我们Sinesafe将对阿里云服务器win2008 系统进行基础安全部署实战过程! 比较重要的几部分 1.
9055 0
阿里云服务器如何登录?阿里云服务器的三种登录方法
购买阿里云ECS云服务器后如何登录?场景不同,阿里云优惠总结大概有三种登录方式: 登录到ECS云服务器控制台 在ECS云服务器控制台用户可以更改密码、更换系.
13186 0
腾讯云服务器 设置ngxin + fastdfs +tomcat 开机自启动
在tomcat中新建一个可以启动的 .sh 脚本文件 /usr/local/tomcat7/bin/ export JAVA_HOME=/usr/local/java/jdk7 export PATH=$JAVA_HOME/bin/:$PATH export CLASSPATH=.
4621 0
阿里云ECS云服务器初始化设置教程方法
阿里云ECS云服务器初始化是指将云服务器系统恢复到最初状态的过程,阿里云的服务器初始化是通过更换系统盘来实现的,是免费的,阿里云百科网分享服务器初始化教程: 服务器初始化教程方法 本文的服务器初始化是指将ECS云服务器系统恢复到最初状态,服务器中的数据也会被清空,所以初始化之前一定要先备份好。
6895 0
阿里云服务器ECS登录用户名是什么?系统不同默认账号也不同
阿里云服务器Windows系统默认用户名administrator,Linux镜像服务器用户名root
4014 0
+关注
9380
文章
243
问答
文章排行榜
最热
最新
相关电子书
更多
《2021云上架构与运维峰会演讲合集》
立即下载
《零基础CSS入门教程》
立即下载
《零基础HTML入门教程》
立即下载