自拍偷在线精品自拍偷,亚洲欧美中文日韩v在线观看不卡

解碼針對(duì)工業(yè)工程領(lǐng)域的網(wǎng)絡(luò)攻擊Operation Ghoul(食尸鬼行動(dòng))

作者:clouds
安全
卡巴斯基于2016年6月監(jiān)測(cè)到了Operation Ghoul(食尸鬼行動(dòng))網(wǎng)絡(luò)攻擊,Operation Ghoul針對(duì)30多個(gè)國(guó)家的工業(yè)、制造業(yè)和工程管理機(jī)構(gòu)發(fā)起了定向滲透入侵??ò退够l(fā)現(xiàn),已經(jīng)有130多個(gè)機(jī)構(gòu)已被確認(rèn)為這類(lèi)攻擊的受害者。

??

[[170205]]

??

1 介紹

卡巴斯基于2016年6月監(jiān)測(cè)到了Operation Ghoul(食尸鬼行動(dòng))網(wǎng)絡(luò)攻擊,Operation Ghoul針對(duì)30多個(gè)國(guó)家的工業(yè)、制造業(yè)和工程管理機(jī)構(gòu)發(fā)起了定向滲透入侵。目前,卡巴斯基發(fā)現(xiàn),有130多個(gè)機(jī)構(gòu)已被確認(rèn)為這類(lèi)攻擊的受害者。

該攻擊最早可以追溯至2015年3月,值得注意的是,攻擊早期目標(biāo)多為中小企業(yè)涉及金融相關(guān)的銀行帳戶(hù)和知識(shí)產(chǎn)權(quán)。

*Ghoul,食尸鬼,阿拉伯傳說(shuō)中以尸體血肉或幼兒為食的惡魔,今天也為貪婪和物質(zhì)主義的形容。

2 主要攻擊媒介:惡意郵件

攻擊者以偽造的郵箱地址向受害者發(fā)送惡意電子郵件,郵件包含7z格式的惡意附件或釣魚(yú)鏈接。下圖為釣魚(yú)郵件樣例,內(nèi)容像是阿聯(lián)酋國(guó)家銀行相關(guān)的付款文件。

??

??

惡意附件

在魚(yú)叉式釣魚(yú)郵件中,7z文件包含一個(gè)形如Emiratesnbd_Advice .exe的惡意程序,其MD5哈希值如下:

fc8da575077ae3db4f9b5991ae67dab1  b8f6e6a0cb1bcf1f100b8d8ee5cccc4c  08c18d38809910667bbed747b2746201  55358155f96b67879938fe1a14a00dd6

郵件附件MD5哈希值:

5f684750129e83b9b47dc53c96770e09  460e18f5ae3e3eb38f8cae911d447590

為了竊取核心機(jī)密和其它重要信息,這些魚(yú)叉式郵件主要發(fā)送對(duì)象為目標(biāo)機(jī)構(gòu)的高級(jí)管理人員,如:

  • 首席執(zhí)行官
  • 首席運(yùn)營(yíng)官
  • 總經(jīng)理
  • 銷(xiāo)售和市場(chǎng)營(yíng)銷(xiāo)總經(jīng)理
  • 副總經(jīng)理
  • 財(cái)務(wù)和行政經(jīng)理
  • 業(yè)務(wù)發(fā)展經(jīng)理
  • 經(jīng)理
  • 出口部門(mén)經(jīng)理
  • 財(cái)務(wù)經(jīng)理
  • 采購(gòu)經(jīng)理
  • 后勤主管
  • 銷(xiāo)售主管
  • 監(jiān)督人員
  • 工程師

3 技術(shù)細(xì)節(jié)

惡意軟件功能

攻擊主要利用Hawkeye商用間諜軟件,它能為攻擊者提供各種工具,另外,其匿名性還能逃避歸因調(diào)查。惡意軟件植入后收集目標(biāo)系統(tǒng)以下信息:

  • 按鍵記錄
  • 剪貼板數(shù)據(jù)
  • FileZillaFTP服務(wù)器憑據(jù)
  • 本地瀏覽器帳戶(hù)數(shù)據(jù)
  • 本地消息客戶(hù)端帳戶(hù)數(shù)據(jù)(PalTalk、GoogleTalk,AIM…)
  • 本地電子郵件客戶(hù)端帳戶(hù)數(shù)據(jù)(Outlook,Windows Live mail…)
  • 安裝程序許可證信息

數(shù)據(jù)竊取

攻擊者主要用以下方式發(fā)送竊取數(shù)據(jù):

HTTP方式:

發(fā)送至中轉(zhuǎn)機(jī) hxxp://192.169.82.86

電子郵件方式:

mail.ozlercelikkapi[.]com (37.230.110.53), mail to info@ozlercelikkapi[.]commail.eminenture[.]com (192.185.140.232), mail to eminfo@eminenture[.]com

ozlercelikkapi[.]com和eminenture[.]com可能屬于被攻擊者前期滲透入侵的制造業(yè)和技術(shù)行業(yè)網(wǎng)站。

惡意軟件指令

惡意軟件通過(guò)被入侵的中轉(zhuǎn)系統(tǒng)192.169.82.86收集受害者電腦信息:

hxxp://192.169.82.86/~loftyco/skool/login.php  hxxp://192.169.82.86/~loftyco/okilo/login.php

??

??

4 受攻擊機(jī)構(gòu)信息

攻擊者主要對(duì)以下幾個(gè)國(guó)家的工業(yè)領(lǐng)域機(jī)構(gòu)發(fā)起滲透攻擊:

??

??

Other行列為至少有3個(gè)工業(yè)機(jī)構(gòu)受到攻擊入侵的國(guó)家,其中有:瑞士、直布羅陀、美國(guó)、瑞典、中國(guó)、法國(guó)、阿塞拜疆、伊拉克、土耳其、羅馬尼亞、伊朗、伊拉克和意大利。

受攻擊行業(yè)信息

從受害機(jī)構(gòu)行業(yè)類(lèi)型分布可以看出,攻擊者主要以制造業(yè)和工業(yè)設(shè)備生產(chǎn)機(jī)構(gòu)為主要滲透入侵目標(biāo):

??

??



其它攻擊信息

攻擊者針對(duì)以下操作系統(tǒng)平臺(tái)進(jìn)行:

  • Windows
  • Mac OS X
  • Ubuntu
  • iPhone
  • Android

目前惡意軟件的檢測(cè)簽名:

trojan.msil.shopbot.ww  trojan.win32.fsysna.dfah  trojan.win32.generic

5 總結(jié)

Operation Ghoul 是針對(duì)工業(yè)、制造業(yè)和工程管理機(jī)構(gòu)的網(wǎng)絡(luò)攻擊,建議用戶(hù)和相關(guān)機(jī)構(gòu):

(1)在查看或打開(kāi)郵件內(nèi)容及附件時(shí)請(qǐng)務(wù)必小心慎重;

(2)為了應(yīng)對(duì)安全威脅,應(yīng)該針對(duì)高級(jí)管理人員進(jìn)行信息安全培訓(xùn)。

6 IOC威脅指標(biāo)

惡意軟件相關(guān)文件和路徑信息:

C:\Users\%UserName%\AppData\Local\Microsoft\Windows\bthserv.exe  C:\Users\%UserName%\AppData\Local\Microsoft\Windows\BsBhvScan.exe  C:\Users\%UserName%\AppData\Local\Client\WinHttpAutoProxySync.exe  C:\Users\%UserName%\AppData\Local\Client\WdiServiceHost.exe  C:\Users\%UserName%\AppData\Local\Temp\AF7B1841C6A70C858E3201422E2D0BEA.dat  C:\Users\%UserName%\AppData\Roaming\Helper\Browser.txt  C:\Users\%UserName%\AppData\Roaming\Helper\Mail.txt  C:\Users\%UserName%\AppData\Roaming\Helper\Mess.txt  C:\Users\%UserName%\AppData\Roaming\Helper\OS.txt  C:\ProgramData\Mails.txt  C:\ProgramData\Browsers.txt

惡意軟件相關(guān)域名:

C:\Users\%UserName%\AppData\Local\Microsoft\Windows\bthserv.exe  C:\Users\%UserName%\AppData\Local\Microsoft\Windows\BsBhvScan.exe  C:\Users\%UserName%\AppData\Local\Client\WinHttpAutoProxySync.exe  C:\Users\%UserName%\AppData\Local\Client\WdiServiceHost.exe  C:\Users\%UserName%\AppData\Local\Temp\AF7B1841C6A70C858E3201422E2D0BEA.dat  C:\Users\%UserName%\AppData\Roaming\Helper\Browser.txt  C:\Users\%UserName%\AppData\Roaming\Helper\Mail.txt  C:\Users\%UserName%\AppData\Roaming\Helper\Mess.txt  C:\Users\%UserName%\AppData\Roaming\Helper\OS.txt  C:\ProgramData\Mails.txt  C:\ProgramData\Browsers.txt

攻擊活動(dòng)釣魚(yú)鏈接:

hxxp://free.meedlifespeed[.]com/ComCast/  hxxp://emailreferentie.appleid.apple.nl.468213579[.]com  hxxp://468213579[.]com/emailreferentie.appleid.apple.nl/emailverificatie-40985443/home/login.php  hxxp://verificatie.appleid.apple.nl.referentie.357912468[.]com/emailverificatie-40985443/home/lo…  hxxp://192.169.82.86/~gurgenle/verify/webmail/  hxxp://customer.comcast.com.aboranian[.]com/login  hxxp://apple-recovery[.]us/  hxxp://apple.security-block[.]com/Apple%20-%20My%20Apple%20ID.html  hxxp://cgi.ebay.com-wn[.]in/itm/2000-Jeep-Wrangler-Sport-4×4-/?ViewItem&item=17475607809  hxxp://https.portal.apple.com.idmswebauth.login.html.appidkey.05c7e09b5896b0334b3af1139274f266b2hxxp://2b68.f444c4f547116bfd052461b0b3ab1bc2b445a[.]com/login.html  hxxp://www.deluxepharmacy[.]net

 【編輯推薦】

  1. ??美國(guó)意欲對(duì)伊朗關(guān)鍵基礎(chǔ)設(shè)施發(fā)動(dòng)大規(guī)模網(wǎng)絡(luò)攻擊??
  2. ??微軟增強(qiáng)其網(wǎng)絡(luò)攻擊防御能力 打造全新黑客防御作戰(zhàn)室??
  3. ??“工業(yè)物聯(lián)網(wǎng)”成網(wǎng)絡(luò)攻擊的首要目標(biāo)??
  4. ??安天研究報(bào)告:白象的舞步——來(lái)自南亞次大陸的網(wǎng)絡(luò)攻擊??
責(zé)任編輯:武曉燕 來(lái)源: freebuf
網(wǎng)絡(luò)攻擊Operation Ghoul食尸鬼行動(dòng)
相關(guān)推薦

2023-08-18 11:29:56

2019-11-08 08:59:35

安恒信息魔芋行動(dòng)

2022-04-11 09:27:58

勒索軟件網(wǎng)絡(luò)安全網(wǎng)絡(luò)攻擊

2013-02-19 09:23:58

2015-07-02 14:24:15

網(wǎng)絡(luò)間諜網(wǎng)絡(luò)安全

2022-01-02 07:05:10

網(wǎng)絡(luò)攻擊移動(dòng)設(shè)備網(wǎng)絡(luò)安全

2010-05-06 16:13:03

2020-12-23 10:37:09

網(wǎng)絡(luò)攻擊惡意軟件網(wǎng)絡(luò)安全

2023-09-01 00:05:40

2019-12-01 22:29:08

網(wǎng)絡(luò)攻擊網(wǎng)絡(luò)防御網(wǎng)絡(luò)安全

2014-01-22 15:29:14

2021-08-24 10:59:44

網(wǎng)絡(luò)攻擊教育機(jī)構(gòu)網(wǎng)絡(luò)安全

2021-04-04 22:55:51

谷歌網(wǎng)絡(luò)攻擊網(wǎng)絡(luò)安全

2016-11-14 13:56:14

2021-06-14 08:10:06

網(wǎng)絡(luò)攻擊JBS網(wǎng)絡(luò)安全

2021-01-02 10:12:28

網(wǎng)絡(luò)攻擊移動(dòng)網(wǎng)絡(luò)醫(yī)藥行業(yè)

2020-06-11 09:36:49

網(wǎng)絡(luò)攻擊網(wǎng)絡(luò)戰(zhàn)爭(zhēng)黑客

2025-03-07 11:45:49

2021-11-28 17:01:49

工業(yè)公司網(wǎng)絡(luò)攻擊黑客
點(diǎn)贊
收藏

51CTO技術(shù)棧公眾號(hào)