網(wǎng)絡(luò)安全研究人員發(fā)現(xiàn)了威脅行為者APT31所采用的戰(zhàn)術(shù)、技術(shù)和程序(TTPs)的重要見解。

該研究由卡巴斯基威脅情報(bào)團(tuán)隊(duì)進(jìn)行，揭示了該威脅行為者的專用植入程序，用于從目標(biāo)網(wǎng)絡(luò)(特別是工業(yè)組織的網(wǎng)絡(luò))收集和竊取數(shù)據(jù)。

攻擊者的目標(biāo)是建立一個(gè)永久的數(shù)據(jù)泄露渠道，包括存儲(chǔ)在氣隙系統(tǒng)上的敏感信息。

卡巴斯基ICS CERT的高級(jí)安全研究員Kirill Kruglov評(píng)論說:“威脅行為者通過加密有效載荷、內(nèi)存注入和DLL劫持來故意混淆他們的行動(dòng)，這似乎強(qiáng)調(diào)了他們策略的復(fù)雜性。”研究人員確定了超過15種不同的植入物及其變體，根據(jù)它們的作用分為三類。

第一階段的植入被設(shè)計(jì)用來收集和存檔本地機(jī)器上的數(shù)據(jù)。它通過從受感染的系統(tǒng)收集信息并將其存儲(chǔ)在本地以供以后的泄露來運(yùn)行。

第二階段的植入主要是收集可移動(dòng)硬盤的信息。通過瞄準(zhǔn)這些驅(qū)動(dòng)器，攻擊者獲得了滲透氣隙網(wǎng)絡(luò)的手段。這種技術(shù)允許惡意軟件通過感染可移動(dòng)媒體傳播到孤立的系統(tǒng)。

Kruglov解釋說:“雖然從氣隙網(wǎng)絡(luò)中竊取數(shù)據(jù)是許多apt和有針對(duì)性的惡意網(wǎng)絡(luò)活動(dòng)經(jīng)常采用的策略，但這次它是由攻擊者獨(dú)特設(shè)計(jì)和實(shí)施的?！?/strong>

最后，第三階段的植入負(fù)責(zé)將泄露的數(shù)據(jù)上傳到指揮與控制(C2)服務(wù)器。這最后一步使威脅行為者能夠訪問和利用被盜的信息。

在周一發(fā)布的一份報(bào)告中，卡巴斯基解釋說：“植入程序的操作是精心策劃的，涉及多個(gè)步驟和技術(shù)，以避免被發(fā)現(xiàn)。例如，用于收集本地文件的專用植入程序使用DLL劫持技術(shù)來確保持久性，將有效負(fù)載注入合法進(jìn)程?！?/strong>

卡巴斯基的研究人員強(qiáng)調(diào)了對(duì)此類威脅保持警惕的重要性，并提出了加強(qiáng)工業(yè)組織網(wǎng)絡(luò)安全防御的建議。

克魯格洛夫總結(jié)道:“隨著調(diào)查的繼續(xù)，我們將堅(jiān)定不移地致力于防范有針對(duì)性的網(wǎng)絡(luò)攻擊，并與網(wǎng)絡(luò)安全社區(qū)合作，傳播可操作的情報(bào)?！?/strong>

建議包括安裝最新的安全解決方案，限制特權(quán)帳戶的使用，以及采用托管檢測(cè)和響應(yīng)服務(wù)來快速減輕威脅。

標(biāo)簽：