信息来源：mottoin

据美国物联网及工控系统安全公司CyberX的安全研究人员称，上千家工业企业目前正成为APT网络间谍活动的“小肥羊”。

此次活动名为Gangnam Industiral Style（江南工业风），活动攻陷了至少200个系统，约60%的受害企业都在韩国，包括钢铁、管道、阀门、制造、工程、化工等企业都遭了殃。

攻击者使用了一种新版本的信息窃取器来提取敏感数据及文件。攻击者使用携带恶意附件的钓鱼邮件，而Separ是首选的恶意软件，其会从浏览器核电子邮件客户端中窃取登录数据、搜寻各类文档、图像等。

受灾企业里，损失最大的企业是一家关键基础设施的设备制造商，其为化工厂、输电和配电设施或可再生能源行业等公司提供产品。CyberX威胁情报小组Section52发现了其他受影响的国家：泰国（12.9%）、中国（5.9%）、日本、印度尼西亚、土耳其、厄瓜多尔、德国和英国等。

攻击者发送的恶意邮件都是为接收者精心准备的。其中之一，发送者伪装成一名在捷克设计发电厂的西门子子公司员工、向受害者征求报价。邮件中还包含了一份如何用燃气运转发电厂的技术文件。

在另外一封邮件中，其还伪装成一家日本大型企业集团的工程子公司，表示对印尼建造燃煤电厂感兴趣。

CyberX安全研究人员表示，攻击者使用的工具就是Separ恶意软件，该软件于2013年首次公开。而此次活动的不同点在于这是该恶意软件的升级、变体版本。该恶意软件靠“自动运行”功能在系统重启后保持运行，其还配备了一些工具：

1、SecurityXploded的Browser Password Dump v6.0；

2、SecurityXploded的Email Password Dump v3.0；

3、NcFTPPut 3.2.5：免费FTP客户端；

4、The LaZagne Project：密码转储；

5、Deltree：删除文件夹；

6、Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03；

7、MOVEit Freely 1.0.0.1：安全FTP客户端；

8、tricerat的休眠工具 ；

这些工具安装后，恶意软件会从浏览器和邮件客户端窃取证书、根据扩展名寻找对攻击者比较重要的文档，而收集来的数据都由FTP向“freehostia.com”免费托管服务发送。

据研究人员称，该活动尚处于活跃状态，因为被窃证书还在向攻击者的C2服务器传送。

这个故事告诉我们：凶险无处不在。