疑似伊朗行为,德国汽车行业遭到长达数年的网络攻击
据悉,一场长达数年的网络钓鱼活动正瞄准德国汽车行业公司,试图用恶意软件窃取密码感染其系统,包括德国汽车制造商和汽车经销商,通过克隆该领域各个组织的合法网站,注册了多个相似的域,以便在攻击过程中使用。
这些网站用于发送用德语编写的网络钓鱼电子邮件,并托管下载到目标系统的恶意软件有效负载。
此活动中使用的各种相似域
网络安全解决方案供应商Check Point的研究人员发现了这一活动,并发布了相关的技术报告。报告显示,该网络钓鱼活动于2021年7月左右开始,目前仍在进行中。
例如,下图的网络钓鱼电子邮件假装包含汽车转账收据,发送给目标经销商。
Check Point发现的恶意电子邮件之一
其中还包含一个HTA文件,该文件中有通过HTML走私运行的JavaScript或VBScript代码。
通用感染链
从依赖自动化工具包的“脚本小子”到部署自定义后门的国家级黑客,所有级别的黑客都能使用这种常用技术。
当受害者看到从HTA文件打开的诱饵文档时,恶意代码就会在后台运行,以获取并启动恶意软件有效负载。
诱饵文件
我们发现了这些脚本的多个版本,有些会触发PowerShell代码,有些是纯文本版本。它们都会下载并执行各种MaaS(恶意软件即服务)信息窃取程序。
——Check Point
HTA文件的最新版本运行PowerShell代码以更改注册表值并启用Microsoft Office套件中的工具,使得威胁行为者无需诱骗接收者启用宏,并且能够提高有效负载丢弃率。
Check Point表示可以追踪到有14个德国汽车制造行业的相关组织遭到攻击,但是报告中没有提到具体的公司名称。
信息窃取有效载荷被托管在伊朗人注册的网站(“bornagroup[.]ir”)上,而同样的电子邮件被用于钓鱼网站的子域名,例如“groupschumecher[.]com”。
威胁分析人员找到了不同的针对西班牙桑坦德银行客户的网络钓鱼活动链接,支持该活动的网站被托管在伊朗的ISP上。
威胁行为者的基础设施
这所拥有157年历史的大学因黑客攻击被迫永久关闭
2022.05.11
只是看个YouTube,数百万加密货币就被盗了?
2022.05.10
全球数据安全合规资讯半月刊(4月下)
2022.05.10
注:本文由E安全编译报道,转载请联系授权并注明来源。