iT邦幫忙

2021 iThome 鐵人賽

DAY 10
0
Security

不專業的工控安全筆記系列 第 10

Day10 針對 ICS 攻擊的駭客集團(2)

  • 分享至 

  • xImage
  •  

HEXANE G0005

  • 別名:Lyceum、HEXANE
  • 針對:中東如科威特
  • 影響:石油、天然氣、電信業者

針對電信業者廠商以「中間人攻擊」的手法進行攻擊,也利用釣魚信件夾帶惡意檔案,該惡意附件夾帶使用 VBA 巨集與 Powershell 的惡意腳本(DanDrop 和 kl.ps1),掌控機器之後,透過 HTTP 與 DNS 與 C2 伺服器連線。

Lazarus group G0008

  • 別名:Lazarus group , COVELLITE , HIDDEN COBRA , ZINC , Guardians of Peace
  • 來自:南韓
  • 針對:歐洲、東亞、北美
  • 影響:民生與電力

使用 WannaCry 針對 ICS 場域進行攻擊,也透過惡意釣魚檔案進行攻擊。

OilRig G0010

  • 別名:OilRig , CHRYSENE , Greenbug , APT 34
  • 來自:伊朗
  • 針對:伊拉克、巴基斯坦、以色列和英國
  • 影響:金融、政府、能源、化工和電信部門以及石化、石油和天然氣

透過魚叉式釣魚郵件,內部包含 Microsoft Excel 的惡意巨集 VBScript 與 PowerShell 也透過水坑攻擊收集 ICS 網路的密碼,使用這些密碼訪問受害的主機,在內部網路使用 HTTP 請求與 C2 伺服器進行連線。

Sandworm Team G0007

  • 別名:Sandworm Team , ELECTRUM , Telebots , IRON VIKING , Quedagh , VOODOO BEAR
  • 來自:俄羅斯
  • 針對:烏克蘭
  • 影響:電力部門

收集 VPN 的帳號密碼,並嘗試登入,也透過魚叉式釣魚郵件,欲取得系統初始權限。
利用惡意韌體使用通訊過程中無法執行指令,用來阻止「指令請求」、「回應請求」,也讓設備無法運作之外,甚至影響 UPS 讓 UPS 無法運作。利用了 GE Cimplicity HMI 和 Advantech/Broadwin WebAccess HMI 軟體的漏洞,利用 SCADA 環境中的 HMI GUI 打開斷路器,也控制內部系統、工作站。

XENOTIME G0001

  • 別名:XENOTIME, TEMP.Veles
  • 可能來自俄羅斯的駭客
  • 針對:中東、歐洲和北美的
  • 影響:石油和天然氣以及電力行業

以 ICS 廠商與製造商為目標,利用水坑攻擊後竊取有效帳號和密碼,透過 RDP 遠端桌面進入內部環境。


上一篇
Day9 針對 ICS 攻擊的駭客集團(1)
下一篇
Day11 ATT&CK for ICS - Initial Access(1)
系列文
不專業的工控安全筆記38
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言