自拍偷在线精品自拍偷,亚洲欧美中文日韩v在线观看不卡

數(shù)千工業(yè)組織的企業(yè)電子郵件賬戶失竊,被濫用進(jìn)行下一次攻擊

作者:Avenger
安全 終端安全
攻擊者濫用企業(yè)郵箱的聯(lián)系人信任發(fā)起攻擊,從一個(gè)工業(yè)企業(yè)傳播到另一個(gè)工業(yè)企業(yè)。

“異?!钡墓?/h4>

2021 年,卡巴斯基的工控安全專家注意到工控環(huán)境計(jì)算機(jī)上檢出間諜軟件的統(tǒng)計(jì)數(shù)據(jù)中存在部分異常。盡管這些攻擊中使用的惡意軟件都屬于知名的商業(yè)間諜軟件(如 AgentTesla/Origin Logger、HawkEye、Noon/Formbook、Masslogger、Snake Keylogger、Azorult、Lokibot 等),但這些攻擊的目標(biāo)極其有限且每個(gè)樣本的生命周期都非常短。如下圖紅色矩形所示:

惡意樣本檢出數(shù)量與發(fā)現(xiàn)時(shí)間

這些攻擊的生命周期通常在 25 天左右,且攻擊的計(jì)算機(jī)數(shù)量不超過 100 臺。其中 40-45% 是工控環(huán)境下的計(jì)算機(jī),其余為同一組織的其他 IT 基礎(chǔ)設(shè)施。

在 2021 年上半年時(shí),全球工控環(huán)境計(jì)算機(jī)上被檢出的所有間諜軟件樣本約有 21.2% 也屬于此類攻擊的范疇。并且根據(jù)地域的不同,有多達(dá)六分之一的計(jì)算機(jī)受到此類攻擊。

C&C 基礎(chǔ)設(shè)施

這些表現(xiàn)出“異常”的惡意樣本,大多都使用基于 SMTP(而非 FTP/HTTP)的 C&C 信道進(jìn)行單向數(shù)據(jù)傳說,這意味攻擊者的目標(biāo)就是竊取數(shù)據(jù)。

異常樣本與全部樣本的對比

TTP

卡巴斯基認(rèn)為,竊取的數(shù)據(jù)主要被攻擊者用來在失陷組織內(nèi)進(jìn)行橫向平移或者是用來攻擊其他組織。

攻擊者會利用之前攻陷的組織的郵箱作為發(fā)起新攻擊的 C&C 服務(wù)器。

在同類攻擊中,發(fā)現(xiàn)了大量的攻擊都是通過偽裝成難以檢測的釣魚郵件發(fā)起的。攻擊者就濫用企業(yè)郵箱的聯(lián)系人信任發(fā)起攻擊,從一個(gè)工業(yè)企業(yè)傳播到另一個(gè)工業(yè)企業(yè)。

攻擊者行為示意圖

與此同時(shí),企業(yè)部署的反垃圾郵件技術(shù)使這些郵件在垃圾郵件文件夾中不容易被發(fā)現(xiàn),這也讓攻擊者從失陷主機(jī)竊取憑據(jù)時(shí)可以不被注意。

總體而言,已經(jīng)發(fā)現(xiàn)超過 2000 個(gè)屬于工業(yè)組織的企業(yè)郵箱被濫用,作為發(fā)起新攻擊的 C&C 服務(wù)器。根據(jù)卡巴斯基的估算,可能還有超過 7000 個(gè)郵箱被在網(wǎng)絡(luò)上出售或者以其他方式被濫用。

攻擊者

大多數(shù)攻擊都是由水平不高的個(gè)人或者小團(tuán)伙獨(dú)立發(fā)起的,大多數(shù)都是直接性的金融犯罪,也有些攻擊者會將失陷公司網(wǎng)絡(luò)服務(wù)(SMTP、SSH、RDP、VPN 等)的憑據(jù)在市場上出售獲利。

地下市場

跟蹤了超過 25 個(gè)地下市場,市面上有很多已經(jīng)確認(rèn)被盜的數(shù)據(jù)正在被出售。各種賣家提供了數(shù)千個(gè) RDP、SMTP、SSH、cPanel 以及電子郵件帳戶在售賣,有的甚至還包括惡意軟件、欺詐方案以及釣魚郵件和釣魚網(wǎng)頁。

對市場上待售的 50000+ 個(gè) RDP 賬戶的元數(shù)據(jù)進(jìn)行統(tǒng)計(jì)分析,其中 1954 個(gè)(3.9%)屬于工業(yè)組織。

相關(guān)行業(yè)統(tǒng)計(jì)

這些信息可以被通過多種方式濫用,甚至有可能被勒索軟件團(tuán)伙或者 APT 組織所利用。在地下市場上,對企業(yè)內(nèi)部系統(tǒng)訪問權(quán)限的需求是很多的,攻擊者也正在積極滿足這些需求。

建議

  • 考慮為企業(yè)郵箱以及其他面向互聯(lián)網(wǎng)的服務(wù)(包括 RDP、VPN-SSL 網(wǎng)關(guān)等)實(shí)施雙因子驗(yàn)證,避免攻擊者通過這些服務(wù)直接觸達(dá)關(guān)鍵數(shù)據(jù)和基礎(chǔ)設(shè)施
  • 確保 IT 和 OT 網(wǎng)絡(luò)上的所有端點(diǎn)都在保護(hù)范圍內(nèi)
  • 定期培訓(xùn)員工,提高正確處理收到電子郵件的安全意識
  • 定期檢查垃圾郵件,而非只是直接清空
  • 監(jiān)控組織賬戶在互聯(lián)網(wǎng)上的泄露情況
  • 考慮對收到的電子郵件附件執(zhí)行沙盒測試,不跳過檢查受信任來源的電子郵件
  • 甚至對發(fā)出的電子郵件也需要檢查,也可能使自己意識到被攻陷了

參考來源:??Kaspersky??

責(zé)任編輯:趙寧寧 來源: FreeBuf
工控安全網(wǎng)絡(luò)攻擊電子郵件
相關(guān)推薦

2021-05-31 10:23:10

惡意軟件攻擊網(wǎng)絡(luò)安全

2023-08-18 11:03:34

2014-03-18 09:24:00

ICT移動寬帶華為

2020-04-28 15:46:56

物聯(lián)網(wǎng)

2009-10-14 10:10:05

2022-03-25 11:53:11

Telegram網(wǎng)絡(luò)犯罪分子惡意軟件

2010-09-17 14:11:18

2011-06-03 13:19:14

2021-01-26 10:51:10

谷歌表單網(wǎng)絡(luò)攻擊惡意軟件

2014-07-17 15:31:48

2021-06-16 10:56:32

電子郵件電子郵件攻擊BEC

2021-01-31 18:46:54

電子郵件郵件攻擊網(wǎng)絡(luò)釣魚

2013-07-05 09:44:42

SDN軟件架構(gòu)

2020-11-04 14:37:05

機(jī)器學(xué)習(xí)人工智能計(jì)算機(jī)

2023-05-15 15:59:07

2020-05-11 13:44:08

人工智能

2021-06-23 13:57:13

數(shù)據(jù)泄露網(wǎng)絡(luò)攻擊數(shù)據(jù)安全

2012-05-09 11:03:32

Twitter密碼泄漏黑客

2022-08-04 18:42:21

網(wǎng)絡(luò)釣魚攻擊ThreatLabz
點(diǎn)贊
收藏

51CTO技術(shù)棧公眾號