Day9 针对 ICS 攻击的骇客集团(1)

昨天介绍 ATT&CK　for ICS　也就是针对工控场域攻击的骇客集团所使用的手法，其中有收录几个骇客集团，下列介绍这些骇客集团：

提前说明：因为同时有多个资安公司会分析骇客组织的动向与手法，资安公司会帮这些骇客集团取名，最後会发现其实这些骇客组织是同一群人，因此才会有别名。

因此透过 ATT&CK 以编号的方式，可以代表现在谈论的骇客集团是哪一个。

LANITE G0009

• 别名：Palmetto Fusion、ALLANITE
• 来自俄罗斯的骇客集团
• 针对美国与英国
• 影响电力公司与能源

曾经使用过水坑攻击与鱼叉式钓鱼邮件的方式入侵电力公司，收集企业内部的帐号与密码，也透过萤幕截图的方式，收集 ICS 系统的截图。

APT33 G0003

• 别名：Elfin, MAGNALLIUM
• 来自伊朗
• 针对美国、沙乌地阿拉伯、韩国
• 影响航空与能源

曾经透过鱼叉式钓鱼邮件，内部使用有恶意程序码的 HTML 连结进行钓鱼，也透过安装後门，可以达到萤幕截图与透过 PowerShell 执行恶意指令。

Dragonfly G0002

• 别名：Dragonfly, Energetic Bear, TG-4192, Crouching Yeti, IRON LIBERTY
• 未有报告指出是哪间国家的骇客
• 原本针对国防与航空(2011)
• 後来针对能源与工控(2013)
• 最後有一个 2.0 版本

比较特别的是透过供应链攻击，以 ICS 的设备厂商的韧体/软件埋入後门木马。其他的手法也是透过鱼叉式钓鱼邮件，针对能源部门的主管进行社交攻击，并使用恶意的 PDF 进行渗透。也针对过能源厂商的网站以 iframe 的手法来传送後门与木马(Backdoor.Oldrea/Trojan.Karagany)。

Dragonfly 2.0 G0006

• 别名：Dragonfly 2.0, Berserk Bear, DYMALLOY
• 来自俄罗斯的骇客
• 从 2015 针对美国、土耳其与瑞士
• 针对能源

一样透过钓鱼的方式或透过网站弱点，收集密码，进入内部环境之後透过

1. 供应链攻击：潜伏於 Windows 的恶意程序
2. port 445,139 UDP 137,138　连接　C2
3. 窃取 ICS 与 SCADA 内部的设备架构图、萤幕截图
4. 匿踪：删除 log、移除注册表内容