Allmännyttiga företag: Rekommendationer om hantering av brandväggar och fläckar
En nyligen cyber-security incident på OSS elnätet enhet som var kopplade till unpatched brandväggar.
En mystisk statsfinansierade dataintrång grupp har riktat minst 17 OSS utility företag med phishing e-post till en fem-månaders period mellan 5 April och augusti 29, Proofpoint rapporterade idag.
Syftet med dessa attacker var att infektera anställda på OSS utility företag med Begränsning, en remote access-trojaner med en omfattande uppsättning funktioner.
Även om inga formella erkännande har gjorts, attackerna tros vara ett verk av Kinesiska hackare, och mer exakt, arbetet i en grupp spårade som APT10, baserat på vissa delar av återanvända kod.
Större kampanj än tidigare trott
Den Proofpoint rapport som publiceras idag är en expansion på en tidigare rapport publicerade den 2 augusti tidigare i år. Då, Proofpoint rapporterade om spear-phishing mail som skickas till OSS tre allmännyttiga företag mellan den 19 juli och den 25 juli 2019.
Idag, Proofpoint rapporterade att den första attacker var mer omfattande än man först trodde, och utökat antalet berörda organisationer från tre till 17 år, tillsammans med kampanjen är livstid, som tycks ha startat mycket tidigare.
Sätta i situationer där it-säkerhet företag exponera sin verksamhet, de flesta nation-state hacker grupper tenderar att dra sig tillbaka, att veta att deras mål har blivit informerade om deras modus operandi, och är mindre benägna att falla för spear-phishing-attacker.
Men i en intervju med ZDNet idag, Sherrod DeGrippo, Senior Director för Hot Forskning och Upptäckt team på Proofpoint, berättade för oss att den grupp som ligger bakom dessa attacker på OSS verktyg för leverantörer fortsatte att arbeta ostört av Proofpoint första rapport.
“Hotet aktörer visa uthållighet när intrångsförsök har blivit omintetgjorda och ser ut att ha varit avskräckas av publikationer som beskriver deras verktyg, svarvning, i stället för att uppdateras lockar med ny personifiering taktik och ökad förvirring,” DeGrippo berättade för oss.
Inriktning verktyg för leverantörer från energisektorn
Men de förändringar som anfallare gjorde var ännu inte så omfattande. De började helt enkelt att skicka e-post poserar som examen fel för de Globala Energi-Certifiering (GEC) certifieringar, snarare än OSS Nationella Rådet för Examinatorer för-och vatten och Lantmäteri (NCEES) tentor, e-postrubriken/lura de som används i attacker från början.
Genom temat för dessa spear-phishing beten, det är ganska uppenbart att angriparna riktar OSS verktyg för leverantörer från OSS energisektorn, såsom operatörer av kraftnät infrastruktur, kärnkraftverk, vindkraftverk, kolkraftverk och andra.
DeGrippo berättade ZDNet att spear-phishing-attacker inte rikta någon särskild energi sektorn, men “utgör[ed] intressen inom en rad verktyg för leverantörer.”
“Detta var sofistikerade spear-phishing-attacker, på ett trovärdigt sätt personifierar en industri licensiering föreningen och riktar sig till personer som skulle vara bekant med den förfalskade organisation,” DeGrippo berättade ZDNet.
Sista nyttolast var en ganska avancerad skadlig kod stam
Förutom att använda domännamn som påminnde om LEDNINGEN och NCEES så nära som möjligt, spear-phishing e-post också ibland blandat legitima dokument med skadliga sådana, i ett försök att lura offer de var berättigade att ta emot e-postkommunikation.
Men om offer tillåtna makro-script inbyggda i Word-DOC-filer, då den inbäddade VBA-scriptet skulle ladda ner och installera den Begränsning malware.
Som beskrivs närmare i augusti rapport, detta är en ny skadlig kod stam, och en med mycket kraftfulla funktioner som skulle ha beviljats en angripare en bakdörr in i offrets dator.
Enligt Proofpoint, den “LookBack malware är ett remote access-Trojaner som är skrivna i C++, som bygger på en proxy kommunikationsverktyg för att förmedla data från den infekterade värden till ett kommando och kontroll av IP.
“Dess förmåga att innehålla en uppräkning av tjänster; visning av en process, ett system, och filen data, ta bort filer, köra kommandon, ta skärmdumpar, flytta och klicka på musen, för att starta om maskinen och ta bort sig själv från en infekterad värd.”
DeGrippo berättade ZDNet att Proofpoint blockerade spear-phishing attacker mot de nätverk av sina kunder, men de kunde inte säga om hackare inte var framgångsrika i att infektera andra verktyg leverantörer med den Begränsning malware.
SMB skannar föregås spear-phishing-attacker.
Dessutom, medan du tittar närmare på de senaste attackerna, DeGrippo team upptäckte också att inför lanseringen av the spear-phishing-attacker, hackare bakom denna kampanj också skannade riktade organisationens nätverk för öppna SMB-protokoll portar (port 445).
Dessa SMB skannar vanligen ägde rum upp till två veckor innan spear-phishing kampanjen började träffa en leverantör av allmännyttiga tjänster är anställda.
Sambandet mellan dessa genomsökningar och senare spear-phishing-kampanj är ganska tydligt, som “observerade scanning IPs i vissa fall har också värd phishing domäner innan deras användning i phishing-kampanjer”, Proofpoint sagt.
“Vi kan bara spekulera om skådespelaren visst val av verktyg och protokoll,” DeGrippo berättade ZDNet. “Men, skanning med hjälp av detta protokoll finns potentiellt hjälpa till att identifiera sårbara datorer eller de nätverk där de kan få störst framgång sprider sig i sidled efter infektion. Det är dock viktigt att notera att vi har inte observerat något som bekräftar skådespelaren utnyttjande av SMB-relaterade sårbarheter i observerade attacker.”
Proofpoint inte namn riktade OSS verktyg för leverantörer, med hänvisning till “pågående utredningar.”
Bolagets rapport har dock innehålla indikatorer som en kompromiss i form av domäner, phishing beten, och malware filhash, i fall andra verktyg leverantörer vill skanna sina nät, och se om de har blivit utsatta för intrång.
Säkerhet
Kära operatörer, vänligen använda befintliga verktyg för att fastställa säkerhet
Massiv våg av konto kapar träffar på YouTube skapare
Apple kastrerad ad blockerare i Safari, men till skillnad från Chrome-användare inte säga en sak
GDPR ett år senare: De utmaningar som organisationer möter fortfarande (ZDNet YouTube)
Den bästa DIY home security system av 2019 (CNET)
Regeringar som fortfarande kämpar för att brottas med weaponized sociala medier plattformar (TechRepublic)
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter