卡巴斯基的ICS CERT报告披露了其研究的第二部分,这部分研究解决了第二阶段恶意软件,这些恶意软件取代了在东欧地区的网络攻击中用于远程访问和数据收集的第一阶段植入物。这种高级工具可以从物理隔离系统中窃取数据,为开发用于收集和传输窃取到的数据的第三阶段工具铺平道路。
该研究为攻击的第二阶段确定了两种特定的植入物类型,用于从受感染的系统中提取数据。其中一种植入物类型似乎是一种复杂的模块化恶意软件,目的是对可移动驱动设备进行剖析,并用蠕虫病毒对其进行污染,以便从东欧工业组织的物理隔离网络中泄露数据。另一种类型的植入物被设计用来从本地计算机窃取数据,并借助下一阶段的植入物将数据发送到 Dropbox。
该恶意软件专门被设计来通过感染可移动驱动设备,从物理隔离的系统中泄露数据。该恶意软件至少由三个模块组成,每个模块负责不同的任务,例如分析和处理可移动驱动器、捕获屏幕截图以及在新连接的驱动器上植入第二步恶意软件。在整个调查过程中,卡巴斯基的研究人员观察到威胁行为者故意逃避检测和分析。他们通过将加密形式的有效负载隐藏在单独的二进制数据文件中,并通过DLL劫持和内存注入链将恶意代码嵌入合法应用程序的内存中来实现这一点。“这个威胁行为者通过加密有效载荷、内存注入和 DLL 劫持等手段故意混淆其行动,这似乎凸显了其战术的复杂性。虽然从物理隔离网络中泄露数据是许多APT和有针对性的网络间谍活动经常采用的策略,但这一次它是由威胁行为者专门设计和实施的。随着调查的继续,卡巴斯基仍然坚定地致力于防范针对性网络攻击,并与网络安全社区合作,交流可提供行动参考的情报信息,”卡巴斯基ICS CERT高级安全研究员Kirill Kruglov评论说。
要阅读活动第二阶段的完整报告,请访问ICS CERT网站。
为了确保您的OT计算机免遭各类威胁的侵害,卡巴斯基专家建议:
· 对OT系统进行定期的安全评估,以发现和消除可能存在的网络安全问题。
· 建立持续的漏洞评估和分类系统,作为有效漏洞管理流程的基础。像卡巴斯基工业网络安全这样的专用解决方案可能会成为一个有效的助手和独特的可操作信息的来源,而这些信息不是完全公开的。
· 对企业OT网络的关键组件进行及时更新;在技术上可行的情况下尽快应用安全修复和补丁或实施补偿措施,这对于防止因生产过程中断而可能造成数百万美元损失的重大事件至关重要。
· 使用诸如卡巴斯基端点检测和响应等EDR解决方案,以及时检测复杂威胁,进行有效的事件调查和修复。
· 通过建立和加强团队的事件预防、检测和响应技能,改进对最新和高级恶意技术的响应能力。为IT安全团队和OT人员提供专门的OT安全培训是可以帮助实现这一目标的关键措施之一。