日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
數(shù)千工業(yè)組織的企業(yè)電子郵件賬戶失竊,被濫用進(jìn)行下一次攻擊

“異?!钡墓?/h4>

2021 年,卡巴斯基的工控安全專家注意到工控環(huán)境計(jì)算機(jī)上檢出間諜軟件的統(tǒng)計(jì)數(shù)據(jù)中存在部分異常。盡管這些攻擊中使用的惡意軟件都屬于知名的商業(yè)間諜軟件(如 AgentTesla/Origin Logger、HawkEye、Noon/Formbook、Masslogger、Snake Keylogger、Azorult、Lokibot 等),但這些攻擊的目標(biāo)極其有限且每個(gè)樣本的生命周期都非常短。如下圖紅色矩形所示:

惡意樣本檢出數(shù)量與發(fā)現(xiàn)時(shí)間

這些攻擊的生命周期通常在 25 天左右,且攻擊的計(jì)算機(jī)數(shù)量不超過 100 臺(tái)。其中 40-45% 是工控環(huán)境下的計(jì)算機(jī),其余為同一組織的其他 IT 基礎(chǔ)設(shè)施。

在 2021 年上半年時(shí),全球工控環(huán)境計(jì)算機(jī)上被檢出的所有間諜軟件樣本約有 21.2% 也屬于此類攻擊的范疇。并且根據(jù)地域的不同,有多達(dá)六分之一的計(jì)算機(jī)受到此類攻擊。

C&C 基礎(chǔ)設(shè)施

這些表現(xiàn)出“異常”的惡意樣本,大多都使用基于 SMTP(而非 FTP/HTTP)的 C&C 信道進(jìn)行單向數(shù)據(jù)傳說,這意味攻擊者的目標(biāo)就是竊取數(shù)據(jù)。

異常樣本與全部樣本的對(duì)比

TTP

卡巴斯基認(rèn)為,竊取的數(shù)據(jù)主要被攻擊者用來在失陷組織內(nèi)進(jìn)行橫向平移或者是用來攻擊其他組織。

攻擊者會(huì)利用之前攻陷的組織的郵箱作為發(fā)起新攻擊的 C&C 服務(wù)器。

在同類攻擊中,發(fā)現(xiàn)了大量的攻擊都是通過偽裝成難以檢測(cè)的釣魚郵件發(fā)起的。攻擊者就濫用企業(yè)郵箱的聯(lián)系人信任發(fā)起攻擊,從一個(gè)工業(yè)企業(yè)傳播到另一個(gè)工業(yè)企業(yè)。

攻擊者行為示意圖

與此同時(shí),企業(yè)部署的反垃圾郵件技術(shù)使這些郵件在垃圾郵件文件夾中不容易被發(fā)現(xiàn),這也讓攻擊者從失陷主機(jī)竊取憑據(jù)時(shí)可以不被注意。

總體而言,已經(jīng)發(fā)現(xiàn)超過 2000 個(gè)屬于工業(yè)組織的企業(yè)郵箱被濫用,作為發(fā)起新攻擊的 C&C 服務(wù)器。根據(jù)卡巴斯基的估算,可能還有超過 7000 個(gè)郵箱被在網(wǎng)絡(luò)上出售或者以其他方式被濫用。

攻擊者

大多數(shù)攻擊都是由水平不高的個(gè)人或者小團(tuán)伙獨(dú)立發(fā)起的,大多數(shù)都是直接性的金融犯罪,也有些攻擊者會(huì)將失陷公司網(wǎng)絡(luò)服務(wù)(SMTP、SSH、RDP、VPN 等)的憑據(jù)在市場(chǎng)上出售獲利。

地下市場(chǎng)

跟蹤了超過 25 個(gè)地下市場(chǎng),市面上有很多已經(jīng)確認(rèn)被盜的數(shù)據(jù)正在被出售。各種賣家提供了數(shù)千個(gè) RDP、SMTP、SSH、cPanel 以及電子郵件帳戶在售賣,有的甚至還包括惡意軟件、欺詐方案以及釣魚郵件和釣魚網(wǎng)頁。

對(duì)市場(chǎng)上待售的 50000+ 個(gè) RDP 賬戶的元數(shù)據(jù)進(jìn)行統(tǒng)計(jì)分析,其中 1954 個(gè)(3.9%)屬于工業(yè)組織。

相關(guān)行業(yè)統(tǒng)計(jì)

這些信息可以被通過多種方式濫用,甚至有可能被勒索軟件團(tuán)伙或者 APT 組織所利用。在地下市場(chǎng)上,對(duì)企業(yè)內(nèi)部系統(tǒng)訪問權(quán)限的需求是很多的,攻擊者也正在積極滿足這些需求。

建議

  • 考慮為企業(yè)郵箱以及其他面向互聯(lián)網(wǎng)的服務(wù)(包括 RDP、VPN-SSL 網(wǎng)關(guān)等)實(shí)施雙因子驗(yàn)證,避免攻擊者通過這些服務(wù)直接觸達(dá)關(guān)鍵數(shù)據(jù)和基礎(chǔ)設(shè)施
  • 確保 IT 和 OT 網(wǎng)絡(luò)上的所有端點(diǎn)都在保護(hù)范圍內(nèi)
  • 定期培訓(xùn)員工,提高正確處理收到電子郵件的安全意識(shí)
  • 定期檢查垃圾郵件,而非只是直接清空
  • 監(jiān)控組織賬戶在互聯(lián)網(wǎng)上的泄露情況
  • 考慮對(duì)收到的電子郵件附件執(zhí)行沙盒測(cè)試,不跳過檢查受信任來源的電子郵件
  • 甚至對(duì)發(fā)出的電子郵件也需要檢查,也可能使自己意識(shí)到被攻陷了

參考來源:??Kaspersky??


文章標(biāo)題:數(shù)千工業(yè)組織的企業(yè)電子郵件賬戶失竊,被濫用進(jìn)行下一次攻擊
轉(zhuǎn)載來于:http://m.5511xx.com/article/djjshhe.html