針對大型製造業，竊取登入資訊! 卡巴斯基發現多起使用SMTP的間諜軟體攻擊

資安廠商卡巴斯基，近日發現最近多起針對製造業發動的間諜軟體駭侵攻擊；這些攻擊者意圖竊取各種登入資訊，用於進一步的駭侵攻擊，或是售出牟利。

卡巴斯基說，近來這些攻擊的特徵，是使用各種現成的間諜軟體工具，例如 AgentTesla/Origin Logger、HawkEye、Noon/Formbook、Masslogger、Snake Keylogger、Azorult、Lokibot 等，來進行短時間的攻擊，以避免遭到發現。

卡巴斯基將這類攻擊稱為「anomalous」，以與一般較長期的攻擊活動區別；據其觀察報告指出，這波攻擊每次的持續時間，約為 25 日左右，而一般典型的間諜軟體駭侵攻擊，多半持續數月到數年之久。

報告也說，這波攻擊與其他間諜軟體的攻擊，有一個很大的不同，就是選擇使用 SMTP 而非 HTTPS，作為惡意軟體與控制伺服器連線的通訊協定。卡巴斯基說，採用 SMTP 是很特別的選擇，因為 SMTP 僅能進行單向傳輸，也只能傳送文字檔，無法傳送其他型態的二進位或非文字檔。但是 SMTP 可以輕易混在一般網路傳輸流量之中，不易遭到發現，而且使用簡便。

在駭侵技術分析中，卡巴斯基表示，駭侵者使用魚叉式釣魚攻擊，先竊得登入資訊，再以該登入資訊進一步入侵企業內網，而且駭侵者會將先前駭入企業的 Email 信箱，當做是控制伺服器使用，以發動新攻擊，這樣可以有效避免企業防毒防駭系統的偵測。

卡巴斯基的報告也指出，觀察到的製造業受害者相當多，約有 2,000 個企業 Email 帳號被當做控制伺服器；竊得的資訊也被放到暗上待價而沽，其中包括許多 Email RDP、SMTP、SSH、cPanel、VPN 帳號登入資訊。

本文轉載自TWCERT/CC。