卡巴斯基于2016年6月監測到了Operation Ghoul（食尸鬼行動）網絡攻擊，Operation Ghoul針對30多個國家的工業、制造業和工程管理機構發起了定向滲透入侵。目前，卡巴斯基發現，有130多個機構已被確認為這類攻擊的受害者。

該攻擊最早可以追溯至2015年3月，值得注意的是，攻擊早期目標多為中小企業涉及金融相關的銀行帳戶和知識產權。

*Ghoul，食尸鬼，阿拉伯傳說中以尸體血肉或幼兒為食的惡魔，今天也為貪婪和物質主義的形容。

主要攻擊媒介：惡意郵件

攻擊者以偽造的郵箱地址向受害者發送惡意電子郵件，郵件包含7z格式的惡意附件或釣魚鏈接。下圖為釣魚郵件樣例，內容像是阿聯酋國家銀行相關的付款文件。

惡意附件

在魚叉式釣魚郵件中，7z文件包含一個形如Emiratesnbd_Advice .exe的惡意程序，其MD5哈希值如下：

fc8da575077ae3db4f9b5991ae67dab1?b8f6e6a0cb1bcf1f100b8d8ee5cccc4c?08c18d38809910667bbed747b2746201?55358155f96b67879938fe1a14a00dd6

郵件附件MD5哈希值：

5f684750129e83b9b47dc53c96770e09?460e18f5ae3e3eb38f8cae911d447590

為了竊取核心機密和其它重要信息，這些魚叉式郵件主要發送對象為目標機構的高級管理人員，如：

首席執行官 首席運營官 總經理 銷售和市場營銷總經理 副總經理 財務和行政經理 業務發展經理 經理 出口部門經理 財務經理 采購經理 后勤主管 銷售主管 監督人員 工程師

Operation Ghoul（食尸鬼行動）技術細節

惡意軟件功能

攻擊主要利用Hawkeye商用間諜軟件，它能為攻擊者提供各種工具，另外，其匿名性還能逃避歸因調查。惡意軟件植入后收集目標系統以下信息：

按鍵記錄?剪貼板數據?FileZillaFTP?服務器憑據?本地瀏覽器帳戶數據?本地消息客戶端帳戶數據（?PalTalk?、?GoogleTalk?，?AIM…?）?本地電子郵件客戶端帳戶數據（?Outlook,Windows Live mail…?）?安裝程序許可證信息

數據竊取方式主要是Http及郵件

攻擊者主要用以下方式發送竊取數據：

HTTP方式：

發送至中轉機 hxxp://192.169.82.86

電子郵件方式：

mail.ozlercelikkapi[.]com (37.230.110.53), mail to info@ozlercelikkapi[.]

commail.eminenture[.]com (192.185.140.232), mail to eminfo@eminenture[.]com

ozlercelikkapi[.]com和eminenture[.]com可能屬于被攻擊者前期滲透入侵的制造業和技術行業網站。

惡意軟件指令

惡意軟件通過?被入侵的?中轉系統192.169.82.86收集受害者電腦信息：

hxxp://192.169.82.86/~loftyco/skool/login.php

hxxp://192.169.82.86/~loftyco/okilo/login.php

被Operation Ghoul（食尸鬼行動）攻擊的國家及地區

攻擊者主要對以下幾個國家的工業領域機構發起滲透攻擊：

Other行列為至少有3個工業機構受到攻擊入侵的國家，其中有：瑞士、直布羅陀、美國、瑞典、中國、法國、阿塞拜疆、伊拉克、土耳其、羅馬尼亞、伊朗、伊拉克和意大利。

被Operation Ghoul（食尸鬼行動）攻擊的行業統計

從受害機構行業類型分布可以看出，攻擊者主要以制造業和工業設備生產機構為主要滲透入侵目標：

2016年6月，最新的攻擊主要集中在以下國家：

其它攻擊信息

攻擊者針對以下操作系統平臺進行：

Windows?Mac OS X?Ubuntu?iPhone?Android

目前惡意軟件的檢測簽名：

trojan.msil.shopbot.ww?trojan.win32.fsysna.dfah?trojan.win32.generic

Operation Ghoul（食尸鬼行動）總結

Operation Ghoul 是針對工業、制造業和工程管理機構的網絡攻擊，建議用戶和相關機構：

（1）在查看或打開郵件內容及附件時請務必小心慎重；

（2）為了應對安全威脅，應該針對高級管理人員進行信息安全培訓。

Operation Ghoul（食尸鬼行動）?IOC威脅指標

惡意軟件相關文件和路徑信息：

C:/Users/%UserName%/AppData/Local/Microsoft/Windows/bthserv.exe?C:/Users/%UserName%/AppData/Local/Microsoft/Windows/BsBhvScan.exe?C:/Users/%UserName%/AppData/Local/Client/WinHttpAutoProxySync.exe?C:/Users/%UserName%/AppData/Local/Client/WdiServiceHost.exe?C:/Users/%UserName%/AppData/Local/Temp/AF7B1841C6A70C858E3201422E2D0BEA.dat?C:/Users/%UserName%/AppData/Roaming/Helper/Browser.txt?C:/Users/%UserName%/AppData/Roaming/Helper/Mail.txt?C:/Users/%UserName%/AppData/Roaming/Helper/Mess.txt?C:/Users/%UserName%/AppData/Roaming/Helper/OS.txt?C:/ProgramData/Mails.txt?C:/ProgramData/Browsers.txt

惡意軟件相關域名：

Indyproject[.]org?Studiousb[.]com?copylines[.]biz?Glazeautocaree[.]com?Brokelimiteds[.]in?meedlifespeed[.]com?468213579[.]com?468213579[.]com?357912468[.]com?aboranian[.]com?apple-recovery[.]us?security-block[.]com?com-wn[.]in?f444c4f547116bfd052461b0b3ab1bc2b445a[.]com?deluxepharmacy[.]net?katynew[.]pw?Mercadojs[.]com

攻擊活動釣魚鏈接：

hxxp://free.meedlifespeed[.]com/ComCast/?hxxp://emailreferentie.appleid.apple.nl.468213579[.]com?hxxp://468213579[.]com/emailreferentie.appleid.apple.nl/emailverificatie-40985443/home/login.php?hxxp://verificatie.appleid.apple.nl.referentie.357912468[.]com/emailverificatie-40985443/home/lo…?hxxp://192.169.82.86/~gurgenle/verify/webmail/?hxxp://customer.comcast.com.aboranian[.]com/login?hxxp://apple-recovery[.]us/?hxxp://apple.security-block[.]com/Apple%20-%20My%20Apple%20ID.html?hxxp://cgi.ebay.com-wn[.]in/itm/2000-Jeep-Wrangler-Sport-4×4-/?ViewItem&item=17475607809?hxxp://https.portal.apple.com.idmswebauth.login.html.appidkey.05c7e09b5896b0334b3af1139274f266b2hxxp://2b68.f444c4f547116bfd052461b0b3ab1bc2b445a[.]com/login.html?hxxp://www.deluxepharmacy[.]net

原文發布時間：2017年3月24日 本文由：freebuf發布，版權歸屬于原作者 原文鏈接：http://toutiao.secjia.com/operation-ghoul-action-interpretation-ics-security 本文來自云棲社區合作伙伴安全加，了解相關信息可以關注安全加網站

總結

以上是生活随笔為你收集整理的工控领域的网络攻击 食尸鬼行动深入解读Operation Ghoul的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。