資安廠商卡巴斯基,近日發現最近多起針對製造業發動的間諜軟體駭侵攻擊;這些攻擊者意圖竊取各種登入資訊,用於進一步的駭侵攻擊,或是售出牟利。卡巴斯基表示,近來這些攻擊的特徵,是使用各種現成的間諜軟體工具,例如 AgentTesla/Origin Logger、HawkEye、Noon/Formbook、Masslogger、Snake Keylogger、Azorult、Lokibot 等,來進行短時間的攻擊,以避免遭到發現。卡巴斯基將這類攻擊稱為「anomalous」,以與一般較長期的攻擊活動區別;據其觀察報告指出,這波攻擊每次的持續時間,約為 25 日左右,而一般典型的間諜軟體駭侵攻擊,多半持續數月到數年之久。
報告研究指出,這波攻擊與其他間諜軟體的攻擊,有一個很大的不同,就是選擇使用 SMTP 而非 HTTPS,作為惡意軟體與控制伺服器連線的通訊協定。卡巴斯基說,採用 SMTP 是很特別的選擇,因為 SMTP 僅能進行單向傳輸,也只能傳送文字檔,無法傳送其他型態的二進位或非文字檔。但是 SMTP 可以輕易混在一般網路傳輸流量之中,不易遭到發現,而且使用簡便。
卡巴斯基表示,駭侵者使用魚叉式釣魚攻擊,先竊得登入資訊,再以該登入資訊進一步入侵企業內網,而且駭侵者會將先前駭入企業的 Email 信箱,當做是控制伺服器使用,以發動新攻擊,這樣可以有效避免企業防毒防駭系統的偵測。卡巴斯基的報告中,同時觀察到的製造業受害者相當多,目前約有 2,000 個企業 Email 帳號被當做控制伺服器;竊得的資訊也被放到暗上待價而沽,其中包括許多 Email RDP、SMTP、SSH、cPanel、VPN 帳號登入資訊。