数千个工业组织的企业电子邮件账户被黑客窃取
卡巴斯基工控安全专家2021年时检测到超2000个属于工业组织的企业邮箱被滥用,作为发起新攻击的C&C服务器。
卡巴斯基的安全专家在对工控环境计算机上检出间谍软件的统计数据进行分析时,发现这些统计数据存在部分异常。
安全专家分析数据时发现,攻击者对这些工控环境计算机进行攻击时所使用的恶意软件都比较知名,列举名单如下:
包括AgentTesla/Origin Logger、HawkEye、Noon/Formbook、Masslogger、Snake Keylogger、Azorult、Lokibot等。
但即便如此,恶意软件的攻击目标却极其有限,且每个样本的生命周期通常为25天左右,且攻击数量不超过100台。
而这不到100台的攻击目标中,有40-45%的设备是工控环境下的计算机,其余的则是同一组织下的其他IT基础设施。
分析对比2021年上半年的数据,全球工控环境计算机中被检出的所有间谍软件样本约有21.2%同属此类的攻击范畴。
安全专家发现黑客攻陷这些设备后大多都使用基于SMTP的C&C信道执行单向数据传输,所以目的为窃取目标数据。
攻击者将攻陷的组织的邮箱作为新发起攻击的C&C服务器,接下来利用窃取的数据进行横向平移或攻击其他组织。
简单来说,就是攻击者攻陷企业设备后窃取资料,然后伪装成难以检测的钓鱼邮件,然后利用工控计算机发起攻击。
这种滥用企业邮箱联系人的攻击方式,不仅让人防不胜防,而且非常容易从一个工业企业传播到另外一个工业企业。
毕竟反垃圾邮件技术一般将本企业或者伙伴企业、供应链企业邮箱认定为诈骗邮件,普通用户也很难对其进行甄别。
目前黑市上售卖的被盗数据还包括RDP、SMTP、SSH、cPanel 以及电子邮件帐户,其中不乏恶意软件和欺诈方案。
安全专家认为,这些攻击基本都是业务水平不高的个人或者是小团体独立发起的,且大多数属于直接性的金融犯罪。
因此,建议用户在阅览电子邮件时务必再三甄别,对于携带附件的邮件要慎之又慎,拒绝点击标明来源的电子邮件。
如果有条件,还是建议企业可以加强员工安全行为培训,定期组织考试考核以增强其安全意识,居安思危防止入侵。