《电子技术应用》
您所在的位置:首页 > 通信与网络 > 业界动态 > 恶意软件持续攻击德国汽车制造业近一年

恶意软件持续攻击德国汽车制造业近一年

2022-05-11
来源:安全内参

  近日,Check Point的研究人员在报告中揭示了一个针对德国汽车制造业企业的长期恶意软件攻击活动。

  攻击目标包括多家德国汽车制造商和汽车经销商,攻击者通过克隆该领域各企业的合法站点(下图),注册了多个相似的域以供攻击使用。

  这些网站用于发送以德语编写的网络钓鱼电子邮件,并托管下载到目标系统的恶意软件有效负载。

  根据该报告,攻击活动于2021年7月左右开始(也可能是3月),目前仍在进行中。

  针对德国汽车工业

  恶意软件感染链始于发送给特定目标的电子邮件,其中包含绕过许多互联网安全控制的ISO磁盘映像文件。

  例如,下面的网络钓鱼电子邮件假装包含发送给目标经销商的汽车转账收据。

  微信图片_20220511165349.png

  该档案又包含一个HTA文件,该文件包含通过HTML smuggling执行的JavaScript或VBScript代码。

  微信图片_20220511165410.png

  恶意软件的感染链

  这是所有技能级别的黑客都经常使用的技术,从依赖自动化工具包的“脚本小子”到部署自定义后门的国家黑客。

  当受害者看到通过HTA文件打开的诱饵文档时,恶意代码会在后台运行,获取并启动恶意软件有效负载。

  安全研究人员指出:“我们发现了这些脚本的多个版本,一些触发PowerShell代码,一些经过混淆处理,以及其他纯文本版本。它们都下载并执行各种MaaS(恶意软件即服务)信息窃取程序。”

  此活动中使用的MaaS信息窃取器各不相同,包括Raccoon Stealer、AZORult和BitRAT。这三个都可以在网络犯罪市场和暗网论坛上购买。

  在HTA文件的更高版本中,运行PowerShell代码以更改注册表值并启用Microsoft Office套件上的内容。这使得攻击者无需诱骗接收者启用宏,从而降低有效负载丢弃率。

  目标和归因

  Check Point表示,已经追踪到这些攻击的14个目标实体,都是与汽车制造行业有一定联系的德国组织。但是,报告中没有提到具体的公司名称。

  信息窃取有效载荷托管在由伊朗人注册的站点(“bornagroup[.]ir”)上,而同一电子邮件用于网络钓鱼子域名,例如“groupschumecher[.]com”。

  威胁分析人员能够找到针对桑坦德银行客户的不同网络钓鱼活动的链接,验证该活动的网站托管在伊朗ISP上。

微信图片_20220511165436.png

  攻击者的基础设施

  总而言之,伊朗威胁行为者很有可能策划了这场运动,但Check Point没有足够的证据证明其归属。

  最后,关于活动的目标,它很可能是针对这些公司或其客户、供应商和承包商的工业间谍活动或BEC(商业电子邮件泄露)。

 

本站内容除特别声明的原创文章之外,转载内容只为传递更多信息,并不代表本网站赞同其观点。转载的所有的文章、图片、音/视频文件等资料的版权归版权所有权人所有。本站采用的非本站原创文章及图片等内容无法一一联系确认版权者。如涉及作品内容、版权和其它问题,请及时通过电子邮件或电话通知我们,以便迅速采取适当措施,避免给双方造成不必要的经济损失。联系电话:010-82306118;邮箱:aet@chinaaet.com。