当地时间5月7日,美国最大的成品油管道运营商美国科洛尼尔管道运输公司(Colonial Pipeline)遭黑客攻击,被迫关闭了美国最大输油管道之一的供应网络该管道从得克萨斯州出发沿东海岸向纽约输送精炼汽油和航空燃料,承载着东海岸近半燃料供应此事件一度引起消费者恐慌,并搅动了原油市场当地时间5月12日,Colonial公司表示,燃油管道已经开始重启运营,但输油管道完全恢复运营可能还需要数天时间,我来为大家科普一下关于威胁与网络攻击的各种术语?下面希望有你要的答案,我们一起来看看吧!
威胁与网络攻击的各种术语
当地时间5月7日,美国最大的成品油管道运营商美国科洛尼尔管道运输公司(Colonial Pipeline)遭黑客攻击,被迫关闭了美国最大输油管道之一的供应网络。该管道从得克萨斯州出发沿东海岸向纽约输送精炼汽油和航空燃料,承载着东海岸近半燃料供应。此事件一度引起消费者恐慌,并搅动了原油市场。当地时间5月12日,Colonial公司表示,燃油管道已经开始重启运营,但输油管道完全恢复运营可能还需要数天时间。
石油输送网络的停摆对美国的经济活动、民众生活、国家安全造成威胁。美国消费者新闻与商业频道(CNBC)称,美国关键管道上的网络攻击正在整个经济体系中引发连锁反应,凸显了美国老化的能源基础设施上的网络安全漏洞。同时,由于本次事件涉及网络安全,各行业开始反思在智能化发展浪潮背景下的网络安全隐患问题。
无独有偶,Red Sky联盟近期发现了最新的网络安全威胁。该组织每周对后台数据库的例行查询发现,邮件主题行中包含内燃机船舶(MV)和内燃机油轮(MT)等字样的邮件为新型威胁邮件。
这些被确认的电子邮件试图发送恶意软件或钓鱼链接,以危害船舶和/或母公司。用户应该察觉到使用的邮件主题行和试图传递信息的电子邮件地址。
“在安全行业工作的人可以迅速识别出这些电子邮件的可疑之处,但被攻击的目标往往无法识别。即使攻击者只能让10%的人打开他们的恶意电子邮件附件,他们也可以在一天内使用类似的模板发送数千封邮件,导致每天数百名受害者。为了提高效率,他们还可以将部分流程自动化。”
据Red Sky联盟称,这些恶意行为者试图利用船舶名称来欺骗海事供应链中的公司。
“我们在本次例行查询中发现了各种各样与海事相关的主题,本次数据中发现的一些新船舶名称包括‘MV Vittoria’和‘MV Genco Resolute’。分析师还观察到攻击者试图从同一发件人电子邮件地址向多个收件人发送恶意电子邮件附件”。
本案中的攻击者所使用的电子邮箱地址是:“Khajohn Intavichian”ii.khajohn[at]kgroupinternational[.]com。
使用的域(kgroupinternational)似乎没有向任何合法实体注册,表明攻击者可能创建了一个虚构的业务域作为发送恶意电子邮件的伪装。
据了解,泰国有一家合法公司名为K-Group物流有限公司,然而,该公司与本案中攻击者使用的域之间没有任何合法联系。攻击者在发送恶意电子邮件附件以逃避检测时,经常假冒或欺骗合法公司。
“这些恶意电子邮件针对多个国家的多个收件人。虽然三个目标域中有一个是模糊的(并且未被识别),其他两个目标分别位于德国和中国台湾。”Red Sky联盟表示。
在这三个电子邮件示例中,攻击者使用了相同的主题行“RE:MV.SIRICHAI REEFER V.0221 – 1st Freight Invoice…”。电子邮件中包含的消息主体也是相同的。发件人似乎使用了至少两个不同的电子邮件客户端发送,因为他们同时发送了恶意的.eml(email)格式文件和.msg(Outlook)格式文件。
共有四个独特的恶意文件附加到恶意电子邮件样本。恶意文件附件使用以下文件名:
● “P0_0541_60_12.rar”(Archive)
● “ERL_7804100.doc”(MS Word Document)
● “IMG_107_85_02_37.doc”(MS Word Document)
● “IMG_50_78_63.xls”(MS Excel Spreadsheet)
“这表明攻击者可能正在手动生成这些电子邮件,而不是使用恶意电子邮件模板发送垃圾邮件,并以众多用户为目标。恶意附件触发了多个防病毒(AV)检测,但所有恶意软件似乎都试图在目标系统上下载特洛伊木马恶意软件,以供进一步入侵。”