<address id="n1rrn"><pre id="n1rrn"><ruby id="n1rrn"></ruby></pre></address>

           

          惡意軟件持續攻擊德國汽車制造業近一年

          2022-05-13 09:18:19來源:深圳融安網絡科技有限公司

          近日,Check Point的研究人員在報告中揭示了一個針對德國汽車制造業企業的長期惡意軟件攻擊活動。攻擊目標包括多家德國汽車制造商和汽車經銷商,攻擊者通過克隆該領域各企業的合法站點,注冊了多個相似的域以供攻擊使用。

          此活動中使用的各種相似域

          這些網站用于發送以德語編寫的網絡釣魚電子郵件,并托管下載到目標系統的惡意軟件有效負載。根據該報告,攻擊活動于2021年7月左右開始(也可能是3月),目前仍在進行中。


          01

          針對德國汽車行業


          惡意軟件感染鏈始于發送給特定目標的電子郵件,其中包含能夠繞過互聯網安全控制的ISO映像文件。

          例如,下圖的網絡釣魚電子郵件假裝包含汽車轉賬收據,發送給目標經銷商。

          Check Point發現的惡意電子郵件之一

          其中還包含一個HTA文件,該文件中有通過HTML走私運行的JavaScript或VBScript代碼。

          通用感染鏈

          這是所有技能級別的黑客都經常使用的技術,從依賴自動化工具包的“腳本小子”到部署自定義后門的國家黑客。

          當受害者看到通過HTA文件打開的誘餌文檔時,惡意代碼會在后臺運行,獲取并啟動惡意軟件有效負載。

          安全研究人員指出:“我們發現了這些腳本的多個版本,一些觸發PowerShell代碼,一些經過混淆處理,以及其他純文本版本。它們都下載并執行各種MaaS(惡意軟件即服務)信息竊取程序?!?/span>

          此活動中使用的MaaS信息竊取器各不相同,包括Raccoon Stealer、AZORult和BitRAT。這三個都可以在網絡犯罪市場和暗網論壇上購買。

          在HTA文件的更高版本中,運行PowerShell代碼以更改注冊表值并啟用Microsoft Office套件上的內容。這使得攻擊者無需誘騙接收者啟用宏,從而降低有效負載丟棄率。


          02

          目標和歸因


          Check Point表示可以追蹤到有14個德國汽車制造行業的相關組織遭到攻擊,但是報告中沒有提到具體的公司名稱。

          信息竊取有效載荷被托管在伊朗人注冊的網站(“bornagroup[.]ir”)上,而同樣的電子郵件被用于釣魚網站的子域名,例如“groupschumecher[.]com”。

          威脅分析人員找到了不同的針對西班牙桑坦德銀行客戶的網絡釣魚活動鏈接,支持該活動的網站被托管在伊朗的ISP上。

          威脅行為者的基礎設施

          總而言之,伊朗威脅行為者很有可能策劃了這場運動,但Check Point沒有足夠的證據證明其歸屬。

          最后,關于活動的目標,它很可能是針對這些公司或其客戶、供應商和承包商的工業間諜活動或BEC(商業電子郵件泄露)。


          報告鏈接:

          https://blog.checkpoint.com/2022/05/10/a-german-car-attack-on-german-vehicle-businesses/

          來源 GoUpSec

          分享:

          微博
          微信公眾號
          cao死你狠狠cao弄

                <address id="n1rrn"><pre id="n1rrn"><ruby id="n1rrn"></ruby></pre></address>