当前位置:首页>>互联网

Golden Ticket工业间谍活动:APT组织接管IT基础设施

  • 2022-08-26 15:45:48
  • 超级管理员

卡巴斯基ICS CERT检测到一波针对多个东欧国家和阿富汗的军工综合体企业和公共机构的攻击。网络罪犯能够控制受害者的整个IT基础设施,以实施工业间谍活动。

2022年1月,卡巴斯基研究人员发现几起针对军事企业和公共组织的高级攻击。这些攻击的主要目的是访问企业的隐私信息并获得对IT系统的控制。攻击者使用的恶意软件与TA428 APT(一个说中文的APT组织)部署的恶意软件类似。

攻击者通过发送精心制作的网络钓鱼电子邮件来渗透企业网络,其中一些邮件包含特定于其组织的信息,这些信息在发送电子邮件时尚未公开。这表明攻击者的攻击是有备而来的,并事先选好了攻击目标。网络钓鱼电子邮件包括一个带有恶意代码的Microsoft Word文档,以便利用漏洞,使攻击者能够在没有任何额外活动的情况下执行任意代码。这个漏洞存在于微软Office的一个组件——微软公式编辑器的过期版本中。

此外,攻击者同时使用了六个不同的后门程序,与受感染的系统建立额外的通信通道,以防其中一个恶意程序被安全解决方案检测到并删除。这些后门为控制受感染的系统和收集机密数据提供了广泛的功能。

攻击的最后阶段包括劫持域控制器并完全控制该组织的所有工作站和服务器——在一起案例中,攻击者甚至控制了网络安全解决方案的控制中心。在获得域管理员权限和对活动目录的访问权后,攻击者会启动“golden ticket”攻击,假冒组织内的任意用户账户,并搜索包含被攻击组织敏感数据的文档和其他文件,再将这些文件泄漏到攻击者在不同国家托管的服务器上。

“Golden Ticket攻击利用了自Windows 2000推出以来一直使用的默认身份验证协议。通过伪造公司网络内的Kerberos Ticket Granting Tickets(TGT),攻击者可以无限制地独立访问属于该网络的任何服务。因此,仅仅更改密码或阻止被入侵的账户是不够的。我们的建议是仔细检查所有可疑的活动,并依靠值得信任的安全解决方案来解决这一问题,”卡巴斯基ICS CERT安全专家Vyacheslav Kopeytsev评论说。

更多有关这些针对性攻击的详情,请参阅Kaspersky ICS CERT.

为了确保您的ICS计算机免受各类威胁的侵害,卡巴斯基专家建议企业:

定期更新属于企业网络的操作系统和应用软件。一旦IT和OT网络设备有新的安全更新或补丁推出,请尽快安装

定期对IT和OT系统进行安全审计,以发现和消除可能存在的漏洞

使用ICS网络流量监控、分析和检测解决方案,以更好地抵御可能危害技术流程和主要企业资产的攻击

为 IT 安全团队和 OT 工程师提供专门的安全培训,以改善对最新的和先进的恶意技术的响应

为负责保护工业控制系统的安全团队提供最新的威胁情报。我们的ICS威胁情报报告服务提供了对当前威胁和攻击媒介的见解,以及OT和工业控制系统中最脆弱的元素和如何缓解这些威胁的办法

使用针对OT端点和网络的安全解决方案(例如卡巴斯基工业网络安全),确保对所有工业关键系统进行全面保护

还要保护IT基础设施;这种保护同样重要。整合端点安全,保护企业端点,并实现自动威胁检测和响应能力


  • 关注微信

猜你喜欢

微信公众号