??
專注于為中小企業(yè)提供網(wǎng)站建設�����、網(wǎng)站設計服務,電腦端+手機端+微信端的三站合一,更高效的管理,為中小企業(yè)達坂城免費做網(wǎng)站提供優(yōu)質(zhì)的服務。我們立足成都����,凝聚了一批互聯(lián)網(wǎng)行業(yè)人才,有力地推動了1000+企業(yè)的穩(wěn)健成長�����,幫助中小企業(yè)通過網(wǎng)站建設實現(xiàn)規(guī)模擴充和轉變��。
??
1 介紹
卡巴斯基于2016年6月監(jiān)測到了Operation Ghoul(食尸鬼行動)網(wǎng)絡攻擊���,Operation Ghoul針對30多個國家的工業(yè)��、制造業(yè)和工程管理機構發(fā)起了定向滲透入侵�。目前,卡巴斯基發(fā)現(xiàn)�����,有130多個機構已被確認為這類攻擊的受害者��。
該攻擊最早可以追溯至2015年3月�,值得注意的是,攻擊早期目標多為中小企業(yè)涉及金融相關的銀行帳戶和知識產(chǎn)權����。
*Ghoul,食尸鬼����,阿拉伯傳說中以尸體血肉或幼兒為食的惡魔,今天也為貪婪和物質(zhì)主義的形容���。
2 主要攻擊媒介:惡意郵件
攻擊者以偽造的郵箱地址向受害者發(fā)送惡意電子郵件�����,郵件包含7z格式的惡意附件或釣魚鏈接�����。下圖為釣魚郵件樣例����,內(nèi)容像是阿聯(lián)酋國家銀行相關的付款文件。
??
??
惡意附件
在魚叉式釣魚郵件中���,7z文件包含一個形如Emiratesnbd_Advice .exe的惡意程序�����,其MD5哈希值如下:
fc8da575077ae3db4f9b5991ae67dab1 b8f6e6a0cb1bcf1f100b8d8ee5cccc4c 08c18d38809910667bbed747b2746201 55358155f96b67879938fe1a14a00dd6
郵件附件MD5哈希值:
5f684750129e83b9b47dc53c96770e09 460e18f5ae3e3eb38f8cae911d447590
為了竊取核心機密和其它重要信息,這些魚叉式郵件主要發(fā)送對象為目標機構的高級管理人員����,如:
- 首席執(zhí)行官
- 首席運營官
- 總經(jīng)理
- 銷售和市場營銷總經(jīng)理
- 副總經(jīng)理
- 財務和行政經(jīng)理
- 業(yè)務發(fā)展經(jīng)理
- 經(jīng)理
- 出口部門經(jīng)理
- 財務經(jīng)理
- 采購經(jīng)理
- 后勤主管
- 銷售主管
- 監(jiān)督人員
- 工程師
3 技術細節(jié)
惡意軟件功能
攻擊主要利用Hawkeye商用間諜軟件,它能為攻擊者提供各種工具��,另外��,其匿名性還能逃避歸因調(diào)查�。惡意軟件植入后收集目標系統(tǒng)以下信息:
- 按鍵記錄
- 剪貼板數(shù)據(jù)
- FileZillaFTP服務器憑據(jù)
- 本地瀏覽器帳戶數(shù)據(jù)
- 本地消息客戶端帳戶數(shù)據(jù)(PalTalk���、GoogleTalk,AIM…)
- 本地電子郵件客戶端帳戶數(shù)據(jù)(Outlook,Windows Live mail…)
- 安裝程序許可證信息
數(shù)據(jù)竊取
攻擊者主要用以下方式發(fā)送竊取數(shù)據(jù):
HTTP方式:
發(fā)送至中轉機 hxxp://192.169.82.86
電子郵件方式:
mail.ozlercelikkapi[.]com (37.230.110.53), mail to info@ozlercelikkapi[.]commail.eminenture[.]com (192.185.140.232), mail to eminfo@eminenture[.]com
ozlercelikkapi[.]com和eminenture[.]com可能屬于被攻擊者前期滲透入侵的制造業(yè)和技術行業(yè)網(wǎng)站����。
惡意軟件指令
惡意軟件通過被入侵的中轉系統(tǒng)192.169.82.86收集受害者電腦信息:
hxxp://192.169.82.86/~loftyco/skool/login.php hxxp://192.169.82.86/~loftyco/okilo/login.php
??
??
4 受攻擊機構信息
攻擊者主要對以下幾個國家的工業(yè)領域機構發(fā)起滲透攻擊:
??
??
Other行列為至少有3個工業(yè)機構受到攻擊入侵的國家,其中有:瑞士��、直布羅陀����、美國、瑞典�����、中國����、法國、阿塞拜疆�����、伊拉克、土耳其���、羅馬尼亞�����、伊朗�、伊拉克和意大利�。
受攻擊行業(yè)信息
從受害機構行業(yè)類型分布可以看出,攻擊者主要以制造業(yè)和工業(yè)設備生產(chǎn)機構為主要滲透入侵目標:
??
??
其它攻擊信息
攻擊者針對以下操作系統(tǒng)平臺進行:
- Windows
- Mac OS X
- Ubuntu
- iPhone
- Android
目前惡意軟件的檢測簽名:
trojan.msil.shopbot.ww trojan.win32.fsysna.dfah trojan.win32.generic
5 總結
Operation Ghoul 是針對工業(yè)�����、制造業(yè)和工程管理機構的網(wǎng)絡攻擊��,建議用戶和相關機構:
(1)在查看或打開郵件內(nèi)容及附件時請務必小心慎重;
(2)為了應對安全威脅�����,應該針對高級管理人員進行信息安全培訓���。
6 IOC威脅指標
惡意軟件相關文件和路徑信息:
C:\Users\%UserName%\AppData\Local\Microsoft\Windows\bthserv.exe C:\Users\%UserName%\AppData\Local\Microsoft\Windows\BsBhvScan.exe C:\Users\%UserName%\AppData\Local\Client\WinHttpAutoProxySync.exe C:\Users\%UserName%\AppData\Local\Client\WdiServiceHost.exe C:\Users\%UserName%\AppData\Local\Temp\AF7B1841C6A70C858E3201422E2D0BEA.dat C:\Users\%UserName%\AppData\Roaming\Helper\Browser.txt C:\Users\%UserName%\AppData\Roaming\Helper\Mail.txt C:\Users\%UserName%\AppData\Roaming\Helper\Mess.txt C:\Users\%UserName%\AppData\Roaming\Helper\OS.txt C:\ProgramData\Mails.txt C:\ProgramData\Browsers.txt
惡意軟件相關域名:
C:\Users\%UserName%\AppData\Local\Microsoft\Windows\bthserv.exe C:\Users\%UserName%\AppData\Local\Microsoft\Windows\BsBhvScan.exe C:\Users\%UserName%\AppData\Local\Client\WinHttpAutoProxySync.exe C:\Users\%UserName%\AppData\Local\Client\WdiServiceHost.exe C:\Users\%UserName%\AppData\Local\Temp\AF7B1841C6A70C858E3201422E2D0BEA.dat C:\Users\%UserName%\AppData\Roaming\Helper\Browser.txt C:\Users\%UserName%\AppData\Roaming\Helper\Mail.txt C:\Users\%UserName%\AppData\Roaming\Helper\Mess.txt C:\Users\%UserName%\AppData\Roaming\Helper\OS.txt C:\ProgramData\Mails.txt C:\ProgramData\Browsers.txt
攻擊活動釣魚鏈接:
hxxp://free.meedlifespeed[.]com/ComCast/ hxxp://emailreferentie.appleid.apple.nl.468213579[.]com hxxp://468213579[.]com/emailreferentie.appleid.apple.nl/emailverificatie-40985443/home/login.php hxxp://verificatie.appleid.apple.nl.referentie.357912468[.]com/emailverificatie-40985443/home/lo… hxxp://192.169.82.86/~gurgenle/verify/webmail/ hxxp://customer.comcast.com.aboranian[.]com/login hxxp://apple-recovery[.]us/ hxxp://apple.security-block[.]com/Apple%20-%20My%20Apple%20ID.html hxxp://cgi.ebay.com-wn[.]in/itm/2000-Jeep-Wrangler-Sport-4×4-/?ViewItem&item=17475607809 hxxp://https.portal.apple.com.idmswebauth.login.html.appidkey.05c7e09b5896b0334b3af1139274f266b2hxxp://2b68.f444c4f547116bfd052461b0b3ab1bc2b445a[.]com/login.html hxxp://www.deluxepharmacy[.]net
【編輯推薦】
- ??美國意欲對伊朗關鍵基礎設施發(fā)動大規(guī)模網(wǎng)絡攻擊??
- ??微軟增強其網(wǎng)絡攻擊防御能力 打造全新黑客防御作戰(zhàn)室??
- ??“工業(yè)物聯(lián)網(wǎng)”成網(wǎng)絡攻擊的首要目標??
- ??安天研究報告:白象的舞步——來自南亞次大陸的網(wǎng)絡攻擊??
文章題目:解碼針對工業(yè)工程領域的網(wǎng)絡攻擊OperationGhoul(食尸鬼行動)
分享網(wǎng)址:
http://uogjgqi.cn/article/cdhehec.html
