MontysThree:工業網路間諜軟體

網路不法分子們正使用訊息隱寫術隱藏他們的代碼,並且四處搜羅工業數據。

我們的安全專家發現了一個專門從事工業企業間諜活動的網路犯罪團伙,他們可能從2018年就開始活躍了,擅長發動目標性攻擊,其使用的工具搜尋受害者電腦上的文檔文件,我們的研究人員將此工具命名為MontysThree。

MontysThree感染電腦的方式

這些網路不法分子們滲透受害者電腦時使用的技術正是經典的魚叉式釣魚攻擊,他們向工業企業員工發送釣魚郵件,郵件中的附件看似是pdf或者doc後綴的文檔,其實是可執行程式。這些文件通常名為”企業數據更新”、”技術參數”或者”2019年員工通訊錄”之類,還有攻擊者將文件偽造成名為”醫療分析結果”或者”Invitro-106650152-1.pdf ”(Invitro是俄羅斯最大的醫療實驗室之一)的醫療文檔。

攻擊者的目標

MontysThree的目標為各種目錄下和連接媒介中的微軟Office文件以及Adobe Acrobat格式的文件。在感染受害者電腦之後,惡意程式蒐集電腦的系統版本、進程列表和桌面截圖等基本訊息以及USERPROFILE和APPDATA目錄下最近訪問過的後綴為doc、docx、xls、xlsx、rtf、pdf、odt、psw和pwd的文檔,並發送至C&C伺服器

MontysThree的其他危害

惡意程式的作者在程式中實現了一些不太常見的機制,比如,在感染電腦之後,負責下載的模塊解壓並解碼之前通過隱寫術加密的主模塊。我們的安全專家認為該隱寫術算法並非像大多數情況一樣直接複製於開源代碼,而是攻擊者自己編寫的。

惡意程式通過谷歌、微軟、Dropbox和WebDav之類的公有雲服務和C&C伺服器通信,除此之外,通信模塊還可以發送RDP和Citrix請求,該惡意程式中並沒有任何通信協議的代碼,它完全通過合法程式(RDP、Citrix客戶端、IE瀏覽器)來通信。

為了盡可能長時間留在受害者電腦中,惡意程式中的輔助模塊修改了Windows快速啟動欄中的快捷方式,當用戶啟動快捷方式(比如瀏覽器)時,MontysThree加載模塊也會被執行。

攻擊者們的身份

我們的安全專家並沒有發現MontysThree的作者和之前的任何攻擊有所關聯。目前看來這是一個未曾被發現的網路犯罪組織,代碼中的文字顯示攻擊者的母語是俄羅斯語,他們的主要目標對像也大多是使用俄語的公司,惡意程式搜尋的某些目標目錄僅存在於西里爾版本的操作系統中。儘管我們的安全專家在通信服務的帳號中發現了某些指向國內的訊號,然而這應該是攻擊者故意用來混淆視聽的手段。

我們在Securelist網站上的文章中有MontysThree的技術細節描述以及感染症狀。

防範措施

首先,請再次提醒企業所有員工,這種目標性攻擊通常以釣魚郵件開場,因此員工在打開附件時必須非常小心,尤其是那些本不該發送給他們的文件。為了確保員工理解為何需要保持警覺,除了說明這些行為的危險性之外,我們還建議利用卡巴斯基安全意識培訓來提升員工應對現代網路威脅的技能。

另外,為了抵禦高級目標性攻擊,請使用具有工作站保護功能、端點檢測與響應能力和其他分析反擊工具的集成安全解決方案。

資料來源: https://www.kaspersky.com/blog/montysthree-industrial-cyberspy/37263/

Comments are closed.

Proudly powered by WordPress | Theme: Baskerville 2 by Anders Noren.

Up ↑

%d 位部落客按了讚: