按 Enter 到主內容區
:::

TWCERT/CC台灣電腦網路危機處理暨協調中心|企業資安通報協處|資安情資分享|漏洞通報|資安聯盟|資安電子報

:::

資安廠商發現多起間諜軟體攻擊,針對大型製造業竊取各種登入資訊

發布日期:
字型大小:
  • 發布單位:TWCERT/CC
  • 更新日期:2022-01-25
  • 點閱次數:3651
資安廠商發現多起間諜軟體攻擊,針對大型製造業竊取各種登入資訊 TWCERT/CC

資安廠商卡巴斯基,近日發現最近多起針對製造業發動的間諜軟體駭侵攻擊;這些攻擊者意圖竊取各種登入資訊,用於進一步的駭侵攻擊,或是售出牟利。

卡巴斯基說,近來這些攻擊的特徵,是使用各種現成的間諜軟體工具,例如 AgentTesla/Origin Logger、HawkEye、Noon/Formbook、Masslogger、Snake Keylogger、Azorult、Lokibot 等,來進行短時間的攻擊,以避免遭到發現。

卡巴斯基將這類攻擊稱為「anomalous」,以與一般較長期的攻擊活動區別;據其觀察報告指出,這波攻擊每次的持續時間,約為 25 日左右,而一般典型的間諜軟體駭侵攻擊,多半持續數月到數年之久。

報告也說,這波攻擊與其他間諜軟體的攻擊,有一個很大的不同,就是選擇使用 SMTP 而非 HTTPS,作為惡意軟體與控制伺服器連線的通訊協定。卡巴斯基說,採用 SMTP 是很特別的選擇,因為 SMTP 僅能進行單向傳輸,也只能傳送文字檔,無法傳送其他型態的二進位或非文字檔。但是 SMTP 可以輕易混在一般網路傳輸流量之中,不易遭到發現,而且使用簡便。

在駭侵技術分析中,卡巴斯基表示,駭侵者使用魚叉式釣魚攻擊,先竊得登入資訊,再以該登入資訊進一步入侵企業內網,而且駭侵者會將先前駭入企業的 Email 信箱,當做是控制伺服器使用,以發動新攻擊,這樣可以有效避免企業防毒防駭系統的偵測。

卡巴斯基的報告也指出,觀察到的製造業受害者相當多,約有 2,000 個企業 Email 帳號被當做控制伺服器;竊得的資訊也被放到暗上待價而沽,其中包括許多 Email RDP、SMTP、SSH、cPanel、VPN 帳號登入資訊。

回頁首