网络安全研究人员发现了威胁行为者APT31所采用的战术、技术和程序(TTPs)的重要见解。
该研究由卡巴斯基威胁情报团队进行,揭示了该威胁行为者的专用植入程序,用于从目标网络(特别是工业组织的网络)收集和窃取数据。
攻击者的目标是建立一个永久的数据泄露渠道,包括存储在气隙系统上的敏感信息。
卡巴斯基ICS CERT的高级安全研究员Kirill Kruglov评论说:“威胁行为者通过加密有效载荷、内存注入和DLL劫持来故意混淆他们的行动,这似乎强调了他们策略的复杂性。”研究人员确定了超过15种不同的植入物及其变体,根据它们的作用分为三类。
第一阶段的植入被设计用来收集和存档本地机器上的数据。它通过从受感染的系统收集信息并将其存储在本地以供以后的泄露来运行。
第二阶段的植入主要是收集可移动硬盘的信息。通过瞄准这些驱动器,攻击者获得了渗透气隙网络的手段。这种技术允许恶意软件通过感染可移动媒体传播到孤立的系统。
Kruglov解释说:“虽然从气隙网络中窃取数据是许多apt和有针对性的恶意网络活动经常采用的策略,但这次它是由攻击者独特设计和实施的。”
最后,第三阶段的植入负责将泄露的数据上传到指挥与控制(C2)服务器。这最后一步使威胁行为者能够访问和利用被盗的信息。
在周一发布的一份报告中,卡巴斯基解释说:“植入程序的操作是精心策划的,涉及多个步骤和技术,以避免被发现。例如,用于收集本地文件的专用植入程序使用DLL劫持技术来确保持久性,将有效负载注入合法进程。”
卡巴斯基的研究人员强调了对此类威胁保持警惕的重要性,并提出了加强工业组织网络安全防御的建议。
克鲁格洛夫总结道:“随着调查的继续,我们将坚定不移地致力于防范有针对性的网络攻击,并与网络安全社区合作,传播可操作的情报。”
建议包括安装最新的安全解决方案,限制特权帐户的使用,以及采用托管检测和响应服务来快速减轻威胁。