網(wǎng)絡釣魚長期以來一直是一種成功的攻擊方法：網(wǎng)絡犯罪分子制作看似合法的電子郵件，將惡意附件附在其中，并發(fā)送給受害者，一旦執(zhí)行，惡意附件便會運行代碼釋放惡意軟件。攻擊者還利用網(wǎng)絡釣魚攻擊傳播勒索軟件、竊取數(shù)據(jù)或執(zhí)行其它形式的攻擊。

Talos Intelligence的研究人員警告稱，用于竊取關鍵基礎設施公司憑證的網(wǎng)絡釣魚電子郵件可以秘密獲取數(shù)據(jù)，甚至不需使用宏。

如今，黑客使用新的網(wǎng)絡攻擊方法瞄準能源公司，包括核電站和其它關鍵基礎設施提供商。近日美國國土安全部(DHS)官員證實，美國核能公司遭遇黑客事件，多個核電站被入侵，在這波黑客事件中，黑客向工程師發(fā)送魚叉式網(wǎng)絡釣魚電子郵件，其中包含隱藏著惡意軟件的虛假簡歷，企圖訪問目標設備和網(wǎng)絡。

釣魚攻擊新方法

Talos Intelligence的研究人員表示，如今，攻擊者實施網(wǎng)絡釣魚活動時不在附件中嵌入惡意代碼，而是通過SMB連接下載模板文件注入，從而秘密獲取憑證。

雖然這種攻擊方法目前僅被用來竊取數(shù)據(jù)，但研究人員警告稱，這種方法可能會被用來釋放其它惡意軟件。這是利用SMB漏洞的新攻擊方法，但是與Petya或WannaCry不同的是，這種方法與永恒之藍沒有聯(lián)系。

針對關鍵基礎設施的網(wǎng)絡攻擊并不是什么新現(xiàn)象。自2017年5以來，黑客一直在使用這種新技術針對全球的能源公司，尤其歐洲和美國，其目的在于竊取關鍵基礎設施工作人員的登錄憑證。目前尚不清楚這一系列攻擊的幕后黑手。

社會工程的滲透

與其它網(wǎng)絡釣魚攻擊活動一樣，這類攻擊使用目標感興趣的電子郵件作為誘餌。這起案例使用的電子郵件通常聲稱是環(huán)境報告或簡歷，其中包含Word附件，一旦打開，word文檔就會設法獲取受害者的數(shù)據(jù)。

研究人員表示，這些文檔最初并未包含任何攻擊跡象，或與這類活動相關的惡意宏。但是，附件會從特定IP地址下載模板文件，而不是代碼，其中包含模板注入說明，并通過SMB與外部服務器建立連接。

雖然這種攻擊方法利用了SMB漏洞，但這種網(wǎng)絡釣魚活動本身通過HTTPS處理，并通過帶有憑證提示的基本身份驗證獲取用戶憑證。

Talos聯(lián)系了受影響的客戶，并確保這些客戶了解這類攻擊，并有能力響應威脅。

研究人員還表示，這種威脅說明控制網(wǎng)絡流量的重要性，除了特定的環(huán)境需求外，用戶應禁用出站協(xié)議，例如SMB(被用于Web連接和客戶端與服務器之間的信息溝通)。

然而，Talos研究人員也指出，由于這些攻擊的情報性質(zhì)，他們不能分享所有的攻擊指示器(IOC)或遭受攻擊的具體目標。