iT邦幫忙

2021 iThome 鐵人賽

DAY 9
1
Security

不專業的工控安全筆記系列 第 9

Day9 針對 ICS 攻擊的駭客集團(1)


昨天介紹 ATT&CK for ICS 也就是針對工控場域攻擊的駭客集團所使用的手法,其中有收錄幾個駭客集團,下列介紹這些駭客集團:

提前說明:因為同時有多個資安公司會分析駭客組織的動向與手法,資安公司會幫這些駭客集團取名,最後會發現其實這些駭客組織是同一群人,因此才會有別名。

因此透過 ATT&CK 以編號的方式,可以代表現在談論的駭客集團是哪一個。

LANITE G0009

  • 別名:Palmetto Fusion、ALLANITE
  • 來自俄羅斯的駭客集團
  • 針對美國與英國
  • 影響電力公司與能源

曾經使用過水坑攻擊與魚叉式釣魚郵件的方式入侵電力公司,收集企業內部的帳號與密碼,也透過螢幕截圖的方式,收集 ICS 系統的截圖。

APT33 G0003

  • 別名:Elfin, MAGNALLIUM
  • 來自伊朗
  • 針對美國、沙烏地阿拉伯、韓國
  • 影響航空與能源

曾經透過魚叉式釣魚郵件,內部使用有惡意程式碼的 HTML 連結進行釣魚,也透過安裝後門,可以達到螢幕截圖與透過 PowerShell 執行惡意指令。

Dragonfly G0002

  • 別名:Dragonfly, Energetic Bear, TG-4192, Crouching Yeti, IRON LIBERTY
  • 未有報告指出是哪間國家的駭客
  • 原本針對國防與航空(2011)
  • 後來針對能源與工控(2013)
  • 最後有一個 2.0 版本

比較特別的是透過供應鏈攻擊,以 ICS 的設備廠商的韌體/軟體埋入後門木馬。其他的手法也是透過魚叉式釣魚郵件,針對能源部門的主管進行社交攻擊,並使用惡意的 PDF 進行滲透。也針對過能源廠商的網站以 iframe 的手法來傳送後門與木馬(Backdoor.Oldrea/Trojan.Karagany)。

Dragonfly 2.0 G0006

  • 別名:Dragonfly 2.0, Berserk Bear, DYMALLOY
  • 來自俄羅斯的駭客
  • 從 2015 針對美國、土耳其與瑞士
  • 針對能源

一樣透過釣魚的方式或透過網站弱點,收集密碼,進入內部環境之後透過

  1. 供應鏈攻擊:潛伏於 Windows 的惡意程式
  2. port 445,139 UDP 137,138 連接 C2
  3. 竊取 ICS 與 SCADA 內部的設備架構圖、螢幕截圖
  4. 匿蹤:刪除 log、移除註冊表內容

上一篇
Day 8 MITRE ATT&CK for ICS
下一篇
Day10 針對 ICS 攻擊的駭客集團(2)
系列文
不專業的工控安全筆記38
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言