“异常的”间谍软件窃取工业企业凭据

编译：代码卫士

研究人员发现针对工业企业的多起间谍活动，旨在窃取账户凭据并执行金融欺诈活动或将凭据转售给其它攻击者。

恶意攻击者使用现成间谍工具，不过将每个变体部署有限的事件以躲避检测。攻击中使用的商业恶意软件包括 AgentTesla/Origin Logger、HawkEye、Noon/Formbook、Messlogger、Snake Keylogger、Azorult 和 Lokibot。

不常见攻击

卡巴斯基认为这些间谍攻击是“异常的“，因为和这个领域中的常见攻击相比，这类间谍攻击持续时间短暂。

更具体而言，这类间谍攻击的生命周期约为25天左右，而多数间谍活动可持续数月甚至是数年之久。

窃取凭据以进一步渗透

威胁人员使用通过鱼叉式钓鱼攻击获取的员工凭据，进一步渗透并在公司 络横向移动。此外，攻击者将此前被攻击的企业邮箱作为新攻击的C2服务器，使得恶意内部通信的检测和标记非常困难。

卡巴斯基实验室发布 告指出，“令人好奇的是，企业反垃圾邮件技术有助于攻击者在从受感染机器中提取被盗凭据时不被发现，使其在垃圾邮件文件夹的所有垃圾邮件中‘不可见’。“

文章知识点与官方知识档案匹配，可进一步学习相关知识Python入门技能树人工智能机器学习工具包Scikit-learn215170 人正在系统学习中