Day10 针对 ICS 攻击的骇客集团(2)

HEXANE G0005

• 别名：Lyceum、HEXANE
• 针对：中东如科威特
• 影响：石油、天然气、电信业者

针对电信业者厂商以「中间人攻击」的手法进行攻击，也利用钓鱼信件夹带恶意档案，该恶意附件夹带使用 VBA 巨集与 Powershell 的恶意脚本(DanDrop 和 kl.ps1)，掌控机器之後，透过 HTTP 与 DNS 与 C2 服务器连线。

Lazarus group G0008

• 别名：Lazarus group , COVELLITE , HIDDEN COBRA , ZINC , Guardians of Peace
• 来自：南韩
• 针对：欧洲、东亚、北美
• 影响：民生与电力

使用 WannaCry 针对 ICS 场域进行攻击，也透过恶意钓鱼档案进行攻击。

OilRig G0010

• 别名：OilRig , CHRYSENE , Greenbug , APT 34
• 来自：伊朗
• 针对：伊拉克、巴基斯坦、以色列和英国
• 影响：金融、政府、能源、化工和电信部门以及石化、石油和天然气

透过鱼叉式钓鱼邮件，内部包含 Microsoft Excel 的恶意巨集 VBScript 与 PowerShell 也透过水坑攻击收集 ICS 网路的密码，使用这些密码访问受害的主机，在内部网路使用 HTTP 请求与 C2 服务器进行连线。

Sandworm Team G0007

• 别名：Sandworm Team , ELECTRUM , Telebots , IRON VIKING , Quedagh , VOODOO BEAR
• 来自：俄罗斯
• 针对：乌克兰
• 影响：电力部门

收集 VPN 的帐号密码，并尝试登入，也透过鱼叉式钓鱼邮件，欲取得系统初始权限。
利用恶意韧体使用通讯过程中无法执行指令，用来阻止「指令请求」、「回应请求」，也让设备无法运作之外，甚至影响 UPS 让 UPS 无法运作。利用了 GE Cimplicity HMI 和 Advantech/Broadwin WebAccess HMI 软件的漏洞，利用 SCADA 环境中的 HMI GUI 打开断路器，也控制内部系统、工作站。

XENOTIME G0001

• 别名：XENOTIME, TEMP.Veles
• 可能来自俄罗斯的骇客
• 针对：中东、欧洲和北美的
• 影响：石油和天然气以及电力行业

以 ICS 厂商与制造商为目标，利用水坑攻击後窃取有效帐号和密码，透过 RDP 远端桌面进入内部环境。