解码针对工业工程领域的网络攻击 Operation Ghoul「食尸鬼行动」

1 介绍

卡巴斯基于2016年6月监测到了Operation Ghoul(食尸鬼行动)网络攻击,Operation Ghoul针对30多个国家的工业、制造业和工程管理机构发起了定向渗透入侵。

目前,卡巴斯基发现,有130多个机构已被确认为这类攻击的受害者。该攻击最早可以追溯至2015年3月,值得注意的是,攻击早期目标多为中小企业涉及金融相关的银行帐户和知识产权。

*Ghoul,食尸鬼,阿拉伯传说中以尸体血肉或幼儿为食的恶魔,今天也为贪婪和物质主义的形容。

2 主要攻击媒介:恶意邮件

攻击者以伪造的邮箱地址向受害者发送恶意电子邮件,邮件包含7z格式的恶意附件或钓鱼链接。下图为钓鱼邮件样例,内容像是阿联酋国家银行相关的付款文件。

恶意附件

在鱼叉式钓鱼邮件中,7z文件包含一个形如Emiratesnbd_Advice .exe的恶意程序,其MD5哈希值如下:

fc8da575077ae3db4f9b5991ae67dab1b8f6e6a0cb1bcf1f100b8d8ee5cccc4c08c18d38809910667bbed747b274620155358155f96b67879938fe1a14a00dd6

邮件附件MD5哈希值:

5f684750129e83b9b47dc53c96770e09460e18f5ae3e3eb38f8cae911d447590

为了窃取核心机密和其它重要信息,这些鱼叉式邮件主要发送对象为目标机构的高级管理人员,如:首席执行官,首席运营官,总经理销售和市场营销总经理,副总经理,财务和行政经理业务发展经理,经理,出口部门经理,财务经理,采购经理,后勤主管,销售主管,监督人员,工程师。

3 技术细节

恶意软件功能

攻击主要利用Hawkeye商用间谍软件,它能为攻击者提供各种工具,另外,其匿名性还能逃避归因调查。恶意软件植入后收集目标系统以下信息:

按键记录 剪贴板数据 FileZillaFTP服务器凭据 本地浏览器帐户数据 本地消息客户端帐户数据(PalTalk、GoogleTalk,AIM…) 本地电子邮件客户端帐户数据(Outlook,Windows Live mail…) 安装程序许可证信息

数据窃取

攻击者主要用以下方式发送窃取数据:

HTTP方式:

发送至中转机 hxxp://192.169.82.86

电子邮件方式:

mail.ozlercelikkapi[.]com (37.230.110.53), mail to info@ozlercelikkapi[.]

ozlercelikkapi[.]com和eminenture[.]com可能属于被攻击者前期渗透入侵的制造业和技术行业网站。

恶意软件指令

恶意软件通过被入侵的中转系统192.169.82.86收集受害者电脑信息:

hxxp://192.169.82.86/~loftyco/skool/login.php

4 受攻击机构信息

攻击者主要对以下几个国家的工业领域机构发起渗透攻击:

Other行列为至少有3个工业机构受到攻击入侵的国家,其中有:瑞士、直布罗陀、美国、瑞典、中国、法国、阿塞拜疆、伊拉克、土耳其、罗马尼亚、伊朗、伊拉克和意大利。

受攻击行业信息

从受害机构行业类型分布可以看出,攻击者主要以制造业和工业设备生产机构为主要渗透入侵目标:

2016年6月,最新的攻击主要集中在以下国家:

其它攻击信息

攻击者针对以下操作系统平台进行:

WindowsMac OS XUbuntuiPhoneAndroid

目前恶意软件的检测签名:

trojan.msil.shopbot.wwtrojan.win32.fsysna.dfahtrojan.win32.generic

5 总结

Operation Ghoul 是针对工业、制造业和工程管理机构的网络攻击,建议用户和相关机构:

(1)在查看或打开邮件内容及附件时请务必小心慎重;

(2)为了应对安全威胁,应该针对高级管理人员进行信息安全培训。

*编译来源:securelist,本文译者:clouds,未经许可禁止转载

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2016-08-19

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏域名资讯

估值200亿的陆金所 其单拼域名价值千万

陆金所是中国平安于2011年在上海设立的线上财富管理平台。据今年7月份的报道称,陆金所的注册用户数已经超过3100万。据路透社旗下IFR消息,陆金所...

21000
来自专栏SAP最佳业务实践

从SAP最佳业务实践看企业管理(36)-SD-销售报价

在售前活动处理中,SD模块最常用的就是销售报价,用以记录对客户的报价,如果成单,报价单可以进一步转化为销售订单。 用途: 此业务情景描述标准销售报价的处理。收到...

38360
来自专栏吉浦迅科技

亲测一款能装Jetson TX2的小机箱

前天Lady发了一篇看老外如何给NVIDIA Jetson TX2装机壳,因为看到淘宝/京东 也正好有卖这款小机箱,所以Lady我就买了....

17440
来自专栏安恒信息

预警 | 医疗行业遭遇勒索病毒攻击

2月24日消息,据国内网友爆料,国内某医院今晨出现系统瘫痪状况,患者无法顺利就医,正值儿童流感高发季,医院大厅人满为患。据悉该院多台服务器感染勒索病毒,数据库文...

41870
来自专栏域名资讯

好米有好价! “牛刀”双拼域名易主终端

中国是一个拼音的世界,拼音域名是指用汉字的拼音做域名的前缀,这样的好处是用户一看就明白这个域名的意思从而知道网站的内容,中文搜索引擎也对拼音域名很友...

22660
来自专栏FreeBuf

境外“暗黑客栈”组织对国内企业高管发起APT攻击

当你启程前往伊萨卡,但愿你的道路漫长,充满奇迹,充满发现——卡瓦菲斯(希腊)。 以此纪念2015,即将逝去的中国威胁情报元年。 0x00摘要 Adobe于12月...

24850
来自专栏Petrichor的专栏

主机:各线介绍 & 问题速查表

  在独立组装过八九台主机,遇坑无数后,我写下了《如何自己组装电脑(从配件到整机)来省下一大笔钱》以及《组装台式机遇坑总结》这两篇技术博客。

10310
来自专栏FreeBuf

Linux XOR DDoS僵尸网络发起强有力的DDoS攻击

Akamai的专家们发现Linux XOR DDoS僵尸网络,它是一个恶意的网络基础设施,可用于对几十个目标发起强有力的DDoS攻击。此外,它主要针对游戏领域和...

38750
来自专栏北京马哥教育

勒索病毒wannacry最新信息汇总

? 由于在短短几天时间内一举攻击了全球70多个国家并且在中国给各大高校狠狠的上了一课,最新的勒索病毒近期在中文互联网上刷屏了。此次勒索病毒大面积爆发事件的影响...

31960
来自专栏域名资讯

币类域名大热:“卢币”lubi.com域名六位数售出

这阵子,真可谓是币类域名大热!,前段时间就有传出bihu.com就以七位数成交!众多带“bi(币)”的域名都卖了高价

229100

扫码关注云+社区

领取腾讯云代金券