“金票”工业间谍，高级APT针对IT基础设施

雅加达 - 卡巴斯基ICS CERT已经检测到针对几个东欧国家和阿富汗的军事工业综合体公司和公共机构的一波针对性攻击。网络犯罪分子可以出于工业间谍目的控制受害者的整个IT基础架构。

卡巴斯基工业控制系统网络应急响应团队（卡巴斯基ICS CERT）是卡巴斯基于2016年发起的一个全球项目，旨在协调自动化系统供应商、工业设施所有者和运营商以及IT安全研究人员的努力，以保护工业企业免受网络攻击。

2022年1月，卡巴斯基研究人员目睹了针对军事公司和公共组织的几次后续攻击。此类攻击的主要目的是访问公司的个人信息并获得对IT系统的控制。攻击者使用的恶意软件类似于中文APT组织TA428 APT传播的恶意软件。

攻击者通过发送精心制作的网络钓鱼电子邮件渗透到企业网络中，其中一些电子邮件包含通过电子邮件发送时尚未公开的组织特定信息。这表明攻击者正在故意为攻击做准备，并提前选择目标。

网络钓鱼电子邮件包括带有恶意代码的Microsoft Word文档，以利用允许攻击者执行任意代码而无需任何其他活动的漏洞。该漏洞存在于旧版本的Microsoft Equation Editor中，Microsoft Equation Editor是Microsoft Office的一个组件。

此外，如果安全解决方案检测到并删除了任何恶意程序，攻击者会同时使用六个不同的后门程序来设置与受感染系统的其他通信通道。此后门提供了广泛的功能来控制受感染的系统和收集机密数据。

攻击的最后阶段涉及劫持域控制器并完全控制组织的所有工作站和服务器，在其中一种情况下，他们甚至接管了网络安全解决方案的控制中心。

在获得域管理员权限和对 Active Directory 的访问权限后，攻击者会执行“黄金票证”攻击。任意模拟组织的用户帐户，并搜索包含被攻击组织的敏感数据的文档或其他文件。然后，数据被渗透到攻击者在各个国家/地区托管的服务器中。

ICS CERT卡巴斯基的安全专家Vyacheslav Kopeytsev表示，Golden Ticket攻击利用了自Windows 2000可用以来一直在使用的默认身份验证协议。通过在企业网络内伪造 Kerberos 票证授予票证，攻击者可以独立访问任何服务。网络无限期地拥有。

“因此，仅仅更改密码或阻止受感染的帐户是不够的。我们的建议是仔细审查ICS CERT卡巴斯基安全专家Vyacheslav Kopeytsev的所有可疑活动，并依赖可靠的安全解决方案。