近日,，Check Point的研究人員在報(bào)告中揭示了一個(gè)針對(duì)德國(guó)汽車制造業(yè)企業(yè)的長(zhǎng)期惡意軟件攻擊活動(dòng),。

　　攻擊目標(biāo)包括多家德國(guó)汽車制造商和汽車經(jīng)銷商,，攻擊者通過(guò)克隆該領(lǐng)域各企業(yè)的合法站點(diǎn)（下圖）,，注冊(cè)了多個(gè)相似的域以供攻擊使用,。

　　這些網(wǎng)站用于發(fā)送以德語(yǔ)編寫的網(wǎng)絡(luò)釣魚電子郵件,，并托管下載到目標(biāo)系統(tǒng)的惡意軟件有效負(fù)載,。

　　根據(jù)該報(bào)告,，攻擊活動(dòng)于2021年7月左右開始（也可能是3月）,，目前仍在進(jìn)行中,。

　　針對(duì)德國(guó)汽車工業(yè)

　　惡意軟件感染鏈?zhǔn)加诎l(fā)送給特定目標(biāo)的電子郵件，其中包含繞過(guò)許多互聯(lián)網(wǎng)安全控制的ISO磁盤映像文件,。

　　例如,，下面的網(wǎng)絡(luò)釣魚電子郵件假裝包含發(fā)送給目標(biāo)經(jīng)銷商的汽車轉(zhuǎn)賬收據(jù)。

　　該檔案又包含一個(gè)HTA文件,，該文件包含通過(guò)HTML smuggling執(zhí)行的JavaScript或VBScript代碼,。

　　惡意軟件的感染鏈

　　這是所有技能級(jí)別的黑客都經(jīng)常使用的技術(shù),，從依賴自動(dòng)化工具包的“腳本小子”到部署自定義后門的國(guó)家黑客。

　　當(dāng)受害者看到通過(guò)HTA文件打開的誘餌文檔時(shí),，惡意代碼會(huì)在后臺(tái)運(yùn)行,，獲取并啟動(dòng)惡意軟件有效負(fù)載。

　　安全研究人員指出：“我們發(fā)現(xiàn)了這些腳本的多個(gè)版本,，一些觸發(fā)PowerShell代碼,，一些經(jīng)過(guò)混淆處理，以及其他純文本版本,。它們都下載并執(zhí)行各種MaaS（惡意軟件即服務(wù)）信息竊取程序,。”

　　此活動(dòng)中使用的MaaS信息竊取器各不相同,，包括Raccoon Stealer,、AZORult和BitRAT。這三個(gè)都可以在網(wǎng)絡(luò)犯罪市場(chǎng)和暗網(wǎng)論壇上購(gòu)買,。

　　在HTA文件的更高版本中,，運(yùn)行PowerShell代碼以更改注冊(cè)表值并啟用Microsoft Office套件上的內(nèi)容。這使得攻擊者無(wú)需誘騙接收者啟用宏,，從而降低有效負(fù)載丟棄率,。

　　目標(biāo)和歸因

　　Check Point表示，已經(jīng)追蹤到這些攻擊的14個(gè)目標(biāo)實(shí)體,，都是與汽車制造行業(yè)有一定聯(lián)系的德國(guó)組織,。但是，報(bào)告中沒有提到具體的公司名稱,。

　　信息竊取有效載荷托管在由伊朗人注冊(cè)的站點(diǎn)（“bornagroup[.]ir”）上,，而同一電子郵件用于網(wǎng)絡(luò)釣魚子域名，例如“groupschumecher[.]com”,。

　　威脅分析人員能夠找到針對(duì)桑坦德銀行客戶的不同網(wǎng)絡(luò)釣魚活動(dòng)的鏈接,，驗(yàn)證該活動(dòng)的網(wǎng)站托管在伊朗ISP上。

　　攻擊者的基礎(chǔ)設(shè)施

　　總而言之,，伊朗威脅行為者很有可能策劃了這場(chǎng)運(yùn)動(dòng),，但Check Point沒有足夠的證據(jù)證明其歸屬。

　　最后,，關(guān)于活動(dòng)的目標(biāo),，它很可能是針對(duì)這些公司或其客戶、供應(yīng)商和承包商的工業(yè)間諜活動(dòng)或BEC（商業(yè)電子郵件泄露）,。