恶意软件持续攻击德国汽车制造业近一年

admin 2022年5月12日23:42:25安全新闻评论5 views1230字阅读4分6秒阅读模式

关注我们

带你读懂网络安全



近日,Check Point的研究人员在报告中揭示了一个针对德国汽车制造业企业的长期恶意软件攻击活动。


攻击目标包括多家德国汽车制造商和汽车经销商,攻击者通过克隆该领域各企业的合法站点(下图),注册了多个相似的域以供攻击使用。


恶意软件持续攻击德国汽车制造业近一年


这些网站用于发送以德语编写的网络钓鱼电子邮件,并托管下载到目标系统的恶意软件有效负载


根据该报告,攻击活动于2021年7月左右开始(也可能是3月),目前仍在进行中。


针对德国汽车工业


恶意软件感染链始于发送给特定目标的电子邮件,其中包含绕过许多互联网安全控制的ISO磁盘映像文件。


例如,下面的网络钓鱼电子邮件假装包含发送给目标经销商的汽车转账收据。


恶意软件持续攻击德国汽车制造业近一年


该档案又包含一个HTA文件,该文件包含通过HTML smuggling执行的JavaScript或VBScript代码。


恶意软件持续攻击德国汽车制造业近一年

恶意软件的感染链


这是所有技能级别的黑客都经常使用的技术,从依赖自动化工具包的“脚本小子”到部署自定义后门的国家黑客。


当受害者看到通过HTA文件打开的诱饵文档时,恶意代码会在后台运行,获取并启动恶意软件有效负载


安全研究人员指出:“我们发现了这些脚本的多个版本,一些触发PowerShell代码,一些经过混淆处理,以及其他纯文本版本。它们都下载并执行各种MaaS(恶意软件即服务)信息窃取程序。”


此活动中使用的MaaS信息窃取器各不相同,包括Raccoon Stealer、AZORult和BitRAT。这三个都可以在网络犯罪市场和暗网论坛上购买。


在HTA文件的更高版本中,运行PowerShell代码以更改注册表值并启用Microsoft Office套件上的内容。这使得攻击者无需诱骗接收者启用宏,从而降低有效负载丢弃率。


目标和归因


Check Point表示,已经追踪到这些攻击的14个目标实体,都是与汽车制造行业有一定联系的德国组织。但是,报告中没有提到具体的公司名称。


信息窃取有效载荷托管在由伊朗人注册的站点(“bornagroup[.]ir”)上,而同一电子邮件用于网络钓鱼子域名,例如“groupschumecher[.]com”。


威胁分析人员能够找到针对桑坦德银行客户的不同网络钓鱼活动的链接,验证该活动的网站托管在伊朗ISP上。


恶意软件持续攻击德国汽车制造业近一年

攻击者的基础设施


总而言之,伊朗威胁行为者很有可能策划了这场运动,但Check Point没有足够的证据证明其归属。


最后,关于活动的目标,它很可能是针对这些公司或其客户、供应商和承包商的工业间谍活动或BEC(商业电子邮件泄露)。


报告链接:

https://blog.checkpoint.com/2022/05/10/a-german-car-attack-on-german-vehicle-businesses/



推荐阅读




文章来源:GoUpSec


点击下方卡片关注我们,
带你一起读懂网络安全 ↓


原文始发于微信公众号(安全内参):恶意软件持续攻击德国汽车制造业近一年

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年5月12日23:42:25
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  恶意软件持续攻击德国汽车制造业近一年 http://cn-sec.com/archives/998277.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: