E安全8月18日讯 自2015年3月以来，一个组织严密的网络犯罪团伙对超过30个国家逾130家企业开展工业间谍活动。绝大多数受害者为工业领域的中小型企业(30-300员工)。

　　网络安全厂商卡巴斯基实验室表示，他们将该行动称之为“食尸鬼行动” (Operation Ghoul)，行动集中在2016年6月，6月8日—6月27最为活跃。

　　攻击者以工业领域的企业为目标

　　大多数目标企业活跃在工业领域，比如石油化工、海军、军事、航空航天、重型机械、太阳能、刚铁、泵、塑料等行业。该间谍组织还针对其它领域，包括工程、航运、医药、制造、贸易、教育、旅游、IT等。
 

　　该组织主要将目标局限在活跃于工业领域的企业，但不具体针对一个国家。攻击范围遍布全球：西班牙(25起)、巴基斯坦(22起)、阿联酋(19)、印度(17)、埃及(16)等。
 

　　其它被攻击国家包括英国、德国、南非、葡萄牙、卡塔尔、瑞士直布罗陀、美国、瑞典、中国、法哥、阿塞拜疆、伊拉克、土耳其、罗马尼亚、伊朗、伊拉克和意大利。

　　攻击者使用“鹰眼”(HawkEye)RAT感染高管

　　“食尸鬼”黑客使用HawkEye RAT(远程访问木马)，也被称为KeyBase实施攻击。
 

　　在2016年6月，研究人员发现了大量鱼叉式网络钓鱼电子邮件中包含恶意附件。附件中的恶意软件基于在暗网公开售卖的“鹰眼”商业间谍软件，为攻击者提供大量黑客工具。一旦安装，它会收集受害者PC的数据，包括：

　　击键

　　剪贴板数据

　　FTP服务器凭证

　　浏览器的账户数据

　　消息客户端的账户数据(Paltalk、Google talk、AIM)

　　电子邮件客户端的账户数据(Outlook、Windows Live邮件)

　　已安装应用程序信息(Microsoft Office)

　　攻击者在EXE文件中打包他们的RAT，放在ZIP文件内通过鱼叉式钓鱼邮件发送给目标企业的高管。卡巴斯基表示，这些邮件发送给了首席执行官、首席运营官、经理、工程师、主管、销售等。

　　卡巴斯基高级安全研究员Mohamad Amin Hasbini表示，“鱼叉式钓鱼邮件大多发送目标机构的高管，很大程度上是因为攻击者希望获取核心情报、其它有趣的信息以及控制账号。”
 

　　对于这类攻击，“鹰眼”收集目标数据并通过HTTP以非加密的方式发送至两个服务器中的一个。卡巴斯基表示，这两个服务器属于过去被劫持的合法企业所有。

　　Mohamad Amin Hasbini称，“在古代民间传说中，食尸鬼是吃人肉和抓孩子的邪恶灵魂，原本是美索不达米亚的恶魔，而如今，这个词有时用来形容贪婪或金钱至上的人。这是对Operation Ghoul的最精切描述。他们的主要动机是通过售卖窃取得来的知识产权、商业情报或受害者的银行账户赚取经济利益。这类组织可能会对任何企业实施攻击。虽然他们使用较简单的恶意工具，但攻击十分有效。因此，如果企业不做好准备很容易遭受攻击。”

　　工业领域的企业如何免受“食尸鬼行动”攻击?

　　为了保护免受Operation Ghoul攻击以及其它类似的威胁，研究人员建议企业采取以下措施：

　　教育员工，使他们能分辨鱼叉式钓鱼邮件或钓鱼链接。

　　使用经验证的企业级安全解决方案，结合对抗目标攻击的解决方案，通过分析网络异常发现攻击行为。

　　为安全员工提供最新威胁情报数据，用有帮助性的工具预防和发现以此进行武装，比如攻击和YARA规则指标。

(责任编辑：宋编辑)