数千工业组织的企业电子邮件账户失窃 被滥用启动下一次性攻打

“意外”的攻打

2021 年，卡巴斯基的工控安保专家留意到工控环境计算机上检出特务软件的统计数据中存在局部意外。虽然这些攻打中经常使用的恶意软件都属于出名的商业特务软件(如AgentTesla/Origin Logger、HawkEye、Noon/Formbook、Masslogger、SnakeKeylogger、Azorult、Lokibot 等)，但这些攻打的指标极端有限且每个样本的生命周期都十分短。如下图白色矩形所示：

恶意样本检出数量与发现期间

这些攻打的生命周期通常在 25 天左右，且攻打的计算机数量不超越 100 台。其中 40-45% 是工控环境下的计算机，其他为同一组织的其他 IT基础设备。

在 2021 年上半年时，环球工控环境计算机上被检出的一切特务软件样本约有 21.2%也属于此类攻打的范围。并且依据地区的不同，有多达六分之一的计算机遭到此类攻打。

C&C 基础设备

这些体现出“意外”的恶意样本，大多都经常使用基于 SMTP(而非 FTP/HTTP)的 C&C信道启动单向数据传说，这象征攻打者的指标就是窃取数据。

意外样本与所有样本的对比

卡巴斯基以为，窃取的数据重要被攻打者用来在陷落组织内启动横向平移或许是用来攻打其他组织。

攻打者会应用之前攻陷的组织的邮箱作为动员新攻打的 C&C 主机。

在同类攻打中，发现了少量的攻打都是经过伪装成难以检测的钓鱼邮件动员的。攻打者就滥用企业邮箱的咨询人信赖动员攻打，从一个工业企业流传到另一个工业企业。

攻打者行为示用意

与此同时，企业部署的反渣滓邮件技术使这些邮件在渣滓邮件文件夹中不容易被发现，这也让攻打者从陷落主机窃取凭据时可以不被留意。

总体而言，曾经发现超越 2000 个属于工业组织的企业邮箱被滥用，作为动员新攻打的 C&C 主机。依据卡巴斯基的预算，或许还有超越 7000个邮箱被在网络上发售或许以其他模式被滥用。

攻打者

大少数攻打都是由水平不高的团体或许小团伙独立动员的，大少数都是间接性的金融立功，也有些攻打者会将陷落公司网络服务(SMTP、SSH、RDP、VPN等)的凭据在市场上发售获利。

公开市场

跟踪了超越 25 个公开市场，市面上有很多曾经确认被盗的数据正在被发售。各种卖家提供了数千个 RDP、SMTP、SSH、cPanel以及电子邮件帐户在售卖，有的甚至还包括恶意软件、欺诈打算以及钓鱼邮件和钓鱼网页。

对市场上待售的 50000+ 个 RDP 账户的元数据启动统计剖析，其中 1954 个(3.9%)属于工业组织。

关系行业统计

这些消息可以被经过多种模式滥用，甚至有或许被敲诈软件团伙或许 APT组织所应用。在公开市场上，对企业外部系统访问权限的需求是很多的，攻打者也正在踊跃满足这些需求。

倡导

参考起源：​ ​Kaspersky​ ​