2021年7月13日。长期以来,网络钓鱼一直是一种成功的攻击方式:网络犯罪分子制作看似合法的电子邮件,附上恶意附件,然后发送给受害者。恶意附件一旦执行,将释放恶意软件的操作代码。攻击者还利用网络钓鱼攻击传播勒索软件、窃取数据或实施其他形式的攻击。
Talos Intelligence研究人员警告说,用于窃取关键基础设施公司凭证的钓鱼电子邮件甚至可以在不使用宏的情况下秘密获取数据。
今天,黑客对能源公司,包括核电站和其他关键基础设施提供商,采用了新的网络攻击方法。最近,美国国土安全部(DHS)官员证实,美国核电公司遭遇黑客事件,许多核电站被入侵。在黑客事件中,黑客向工程师发送了一封带有恶意软件的虚假简历,试图访问目标设备和网络。
1 钓鱼攻击新方法
Talos Intelligence研究人员说,现在,当攻击者进行在线钓鱼活动时,他没有在附件中嵌入恶意代码,而是通过SMB连接下载模板文件并注入,以秘密获取凭证。
虽然这种攻击只用于窃取数据,但研究人员警告说,这种方法可能用于发布其他恶意软件。这是一种使用SMB新的漏洞攻击方法,但与Petya或WannaCry不同的是,这种方法与永恒的蓝色无关。
对关键基础设施的网络攻击并不是一个新现象。自2017年5月以来,黑客一直在为全球能源公司,尤其是欧洲和美国的能源公司使用这项新技术,目的是窃取关键基础设施工作人员的登录凭据。目前还不清楚这一系列袭击的幕后黑手是谁。
2 社会工程渗透
和其他钓鱼攻击一样,这种攻击使用目标感兴趣的电子邮件作为诱饵。在这种情况下,使用的电子邮件通常声称是环保报告或简历,包括word附件。一旦打开,Word文件将试图获取受害者的数据。
研究人员表示,这些文件最初没有包含任何与此类活动相关的攻击或恶意宏的迹象。但是,附件从特定的IP地址下载模板文件而不是代码,包括模板注入指令,并通过SMB与外部服务器建立连接。
虽然采用了这种攻击方法SMB但这种钓鱼活动本身就是由漏洞引起的HTTPS处理后,用户通过凭证提示的基本身份验证获得的。
Talos联系受影响的客户,确保他们能够理解这些攻击并应对威胁。
研究人员还表示,这种威胁显示了控制网络流量的重要性。除了具体的环境要求外,用户还应禁止出站协议,如SMB(用于客户端和服务器之间Web连接和信息通信)。
但是,Talos研究人员还指出,由于这些攻击的情报性质,他们无法共享所有的攻击指标(IOC)或攻击的具体目标。