研究人員表示全球供應工業裝置和軟件的企業正受到一系列的網絡攻擊,包含了網絡釣魚和把惡意程式隱藏在公開和合法圖片內的隱寫術攻擊,並且針對目標使用合適的語言製作誘餌陷阱。
因應目標使用不同語言
根據 Kaspersky ICS CERT,攻擊第一步的目標是盜取 Windows 的權限,目的是能夠在目標網絡內橫向移動,以及隨後的其他活動,惡意程式在德國、意大利、日本和英國的系統內找到。攻擊以釣魚電郵作為第一步,因應每個目標,採用指定的語言進行「度身訂造」網絡釣魚的內容。
例如一家被攻擊的日本公司,釣魚的電郵和含有惡意巨集的 MS Office 文件都是以日文書寫,而且在把惡意程式模組解密後,也發現操作系統也必需是日本本地化的環境。電郵自稱緊急要求收件者打開附件,其實是載有惡意巨集的 Excel 檔案,並要求用戶啟動活動內容,答應的話便會解發惡意的 PowerShell 腳本,在隱藏的視窗中執行,並且無視戶原本已經有設定的規範。
在編碼中包含的網址中隨機選擇一條,目的地是合法的公眾圖片儲存服務,例如 imgur.com 和 imgbox.com,腳本然後下載圖片並開始資料提取程序。
「隱寫法」策略
資料被隱藏在下載的圖片中,並中惡意程式根據腳本中的演算法定義從像素進行解析,把惡意程式隱藏在圖像檔案中,也被稱為隱寫法 (Steganography),雖然並不常見,但也是眾所周知是可以規避偵測而無需經過太多審查的方法。
在這個情況下,資料編碼以多重加密保護 (Base64 和 RSA),當進行解密和解碼後會結合到第二個 PowerShell 腳本,Kaspersky 設為這是較高階的技術,做成當下載圖片時無法透過網絡流量監察和控制工具去偵測惡意程式,從技術角度來看,與一般去合法圖像存放服務提出要求無異。
研究人員表示,腳本中含錯誤編碼,當中包含故意使用 exception message 作為解密的金鑰,而此舉倚靠安裝在操作系統中的語言包,明顯攻擊者是針對特定國家的受害者而專門設計惡意程式,而另一個「好處」是讓惡意程式逃避「沙盒」的偵測,如果研究人員不知道受害者電腦上的語言包,分析工作將變得困難得多。
而第二個 PowerShell 腳本會解封第三個 PowerShell 腳本,內裡其實是 Mimikatz 工具,專門在受感染系統中盜取 Windows 的帳號權限。犯罪份子使用收集得來的資料,去存取企業網絡內其他系統,如果攻擊者取得管理員權限便會相當危險。
犯案目的不明
研究人員至今仍然未知網絡罪犯的最終目標,使用隱寫法結合感染的精確性,顯示這是一連串的針對性攻擊,而且受害者包括工業企業的承建商,如果能夠成功收集到承建商員工的權限,可以導致一連串的負面結果,隨時令敏感資料外洩。
資料來源:Threat Post
