疑似伊朗行为，比利时汽车行业遭到长达数年的网络攻击

近日，一场长曾达数年的因特网游商业活动于是以对准德国汽车产业母公司，试图用假新闻软件伪造密码接种其系统，包括德国汽车大厂和汽车分销商，通过克隆该领域各个的组织的合法网上，唯册了多个完全相同的域，以便在袭击过程中的使用。

这些网上用于发送用德语编写的因特网游匿名，并托管下载到远距离系统的假新闻软件理论上过载。

此商业活动中的使用的各种完全相同域

思科解决方案供应商Check Point的数据分析部门挖掘出了这一商业活动，并刊发了涉及的技术开发研究报告。研究报告显示，该因特网游商业活动于2021年7月左右开始，在此之前仍在展开中的。

对准德国汽车产业接种链始于寄给特定远距离的匿名，其中的相关联需要绕过互联网安全操控的ISO映像明文。

例如，下图的因特网游匿名假装相关联汽车账户发票，寄给远距离分销商。

Check Point挖掘出的假新闻匿名之一

其中的还相关联一个HTA明文，该明文中的有通过HTML走私列车运行的JavaScript或VBScript预定义。

CE接种链

从依赖自动化工具包的“脚本Crazy”到部署内置后门的国家级恶意，所有高级别的恶意都能使用这种类似于技术开发。

当受害者看到从HTA明文打开的诱饵文档时，假新闻预定义就会在后台列车运行，以赚取并启动假新闻软件理论上过载。

诱饵明文

我们挖掘出了这些脚本的多个版，有些会出现异常PowerShell预定义，有些是纯文本版。它们都能下载并执行各种MaaS（假新闻软件即服务）信息伪造程序中。

——Check Point

此商业活动中的使用的MaaS信息伪造程序中各不相同，包括Raccoon Stealer、AZORult 和 BitRAT，这三个程序中都可以在因特网犯罪活动商品和暗网论坛上购买到。

HTA明文的最新版列车运行PowerShell预定义以更加改唯册表值并落成Microsoft Office套件中的的工具，使得威胁行为者无需诱骗接收者落成宏，并且需要更高理论上过载取走领军。

假新闻修改Windows唯册表幕后主使和袭击远距离

Check Point声称可以追踪到有14个德国汽车制造产业的涉及的组织遭袭击，但是研究报告中的没提及具体的母公司称谓。

信息伪造火箭被托管在索马里人唯册的网上（“bornagroup[.]ir”）上，而比方说的匿名被用于游网上的子域名，例如“groupschumecher[.]com”。

威胁分析部门找到了并不相同的针对葡萄牙桑坦德银行的产品的因特网游商业活动链接，支持该商业活动的网上被托管在伊朗的ISP上。

威胁行为者的交通设施

这场商业活动很有可能是伊朗的威胁行为者筹划的，但Check Point没所需的证据来证明。该商业活动很可能是针对这些母公司或其的产品、供应商和承包商的工业间谍商业活动或BEC（商业匿名泄露）。威胁行为者寄给远距离的匿名留有所需的互联空间，使得与受害者建立融洽的关系并获得其宠信成为可能，这使得关于BEC的假设更加具有可信度。轻松举荐

这所仅有157年历史的学院因恶意袭击被迫永久重开

2022.05.11

只是看个YouTube，数百万加密通货就被盗了？

2022.05.10

世界性数据安全合规资讯半月刊（4月下）

2022.05.10

唯：本文由E安全编译另据，登出请联系授权并唯明来源。

上海精神心理专业医院
兰州白癜风医院预约挂号
智慧博物馆