美10余家电力企业遭模板注入攻击
发布时间:
2017-07-12
来源:
作者:
访问量:
13
根据思科Talos情报和研究小组称, 最近攻击者在针对美国能源设施和其他重要基础设施组织的攻击中使用了一种叫做模板注入( template injection)的技术。
《纽约时报》和彭博上周透露, 联邦调查局和国土安全部发布了一份联合报告称:美国的制造工厂、核电站和其他能源设施正遭受网络攻击的威胁。此次袭击至少攻击了美国十几家电力公司, 包括在堪萨斯州的 Wolf Creek核设施。
美国能源部表示, 它正在与受影响的公司合作, 并指出, 只有行政和商业网络似乎受到影响, 控制能源基础设施的系统并未受影响。
Wolf Creek的代表称:虽然他们无法就安全问题发表公开评论, 但他们可以确认, 由于控制系统与企业网络完全分离, 这些攻击对其核设施没有任何操作上的影响。
根据联邦调查局/国土安全部的报告攻击者使用的技术类似于与俄罗斯相关的APT组织(Crouching Yeti, Energetic Bear 和Dragonfly),而该集团一直以工业企业为目标。Havex、Sysmain、ClientX,以及最近出现的Industroyer都被认为是该组织的杰作。
这些攻击者向企业的工程师发送恶意电子邮件, 目的是获取用户凭证,并获取网络访问权限。
FireEye的关键基础设施的首席分析师Sean McBride也发表了相应观点。黑客用了“水坑”和中间人 (MitM) 攻击,而这次攻击行动同时还针对了世界其他地区的政府网站的用户, 某些被感染的文件与能源部门并没有明显的联系。
思科Talos的研究人员一直在监控这些攻击, 并分析了黑客使用的一些恶意的 word 文档,他们则注意到这次针对世界各地关键基础设施公司的攻击主要目标似乎还是美国和欧洲。
这次试用的恶意文档(常伪装为恢复和环境报告)并未依赖VB宏或其他嵌入式脚本来传递恶意软件。当打开诱饵文档时, 在启动 word 应用程序的过程中, 将从攻击者控制的 SMB服务器加载一个模板文件。
这种被称为模板注入攻击中加载的模板文件能使攻击者潜伏地获取 SMB凭据。该方法还可用于将其他恶意有效载荷下载到受害者的设备, 但由于黑客的 SMB服务器在Talos的分析过程中处于离线状态, 因此无法确定其他有效负载是否已送达。
此攻击中使用的模板注入与一个名为 Phishery 的开源工具之间存在联系,而此类相似性还无法判断是否是巧合,也有可能是黑客的混淆手段。
https://github.com/ryhanson/phishery
Claroty 的创始人Galina Antova则相信这次攻击的主要目的是窃取关键基础设施的信息,并为进一步获取其控制系统的访问权准备。
S称“模板注入”并非很新的攻击技术,而这次能做欧美基础设施企业攻击得手,也说明目前关键基础设施企业和机构的安全防护工作并非想象中的安全。
参考:
http://www.securityweek.com/template-injection-used-attacks-us-critical-infrastructure
转自: malwarebenchmark
上一条:
相关资讯
