針對電信業者廠商以「中間人攻擊」的手法進行攻擊,也利用釣魚信件夾帶惡意檔案,該惡意附件夾帶使用 VBA 巨集與 Powershell 的惡意腳本(DanDrop 和 kl.ps1),掌控機器之後,透過 HTTP 與 DNS 與 C2 伺服器連線。
使用 WannaCry 針對 ICS 場域進行攻擊,也透過惡意釣魚檔案進行攻擊。
透過魚叉式釣魚郵件,內部包含 Microsoft Excel 的惡意巨集 VBScript 與 PowerShell 也透過水坑攻擊收集 ICS 網路的密碼,使用這些密碼訪問受害的主機,在內部網路使用 HTTP 請求與 C2 伺服器進行連線。
收集 VPN 的帳號密碼,並嘗試登入,也透過魚叉式釣魚郵件,欲取得系統初始權限。
利用惡意韌體使用通訊過程中無法執行指令,用來阻止「指令請求」、「回應請求」,也讓設備無法運作之外,甚至影響 UPS 讓 UPS 無法運作。利用了 GE Cimplicity HMI 和 Advantech/Broadwin WebAccess HMI 軟體的漏洞,利用 SCADA 環境中的 HMI GUI 打開斷路器,也控制內部系統、工作站。
以 ICS 廠商與製造商為目標,利用水坑攻擊後竊取有效帳號和密碼,透過 RDP 遠端桌面進入內部環境。