信息來源：nosec

近日，網(wǎng)絡安全公司CyberX指出，一個網(wǎng)絡間諜組織通過利用惡意軟件Separ 進行信息（密碼、文檔等）竊取的程序，來對韓國和其他國家的數(shù)百家工業(yè)公司展開黑客攻擊。

CyberX指出，已有200多個系統(tǒng)遭到了黑客攻擊，如：一家生產(chǎn)關鍵基礎設施設備的大型韓國企業(yè)、工程公司、化工程建設公司等。

CyberX在《SecurityWeek》中表示，現(xiàn)在還未確定攻擊的來源，可能是攻擊者使用命令和控制（C&C）服務器使用免費的托管服務增加追蹤難度，其副總裁David Atch也有這樣表示，“無法使用常用的方法-基于DNS注冊，來識別攻擊者”。

CyberX將此次攻擊稱為“Gangnam Industrial Style（江南工業(yè)風格）”，其威脅情報團隊還在繼續(xù)調(diào)查此次攻擊活動。

現(xiàn)在發(fā)現(xiàn)的攻擊行為有：威脅組織一直在從受感染系統(tǒng)中獲取密碼及其他敏感文件，結(jié)合之前的其他攻擊活動有過這樣的攻擊利用過程：黑客通過竊取商業(yè)秘密和相關的知識產(chǎn)權(quán)，然后發(fā)起針對Vicitm工業(yè)網(wǎng)絡的勒索軟件攻擊，所以此次攻擊活動也有可能造成勒索軟件攻擊等嚴重后果。

CyberX透露出這次攻擊行動中使用的惡意軟件是：Separ的更新版本，用于信息竊取的軟件。Seper早期版本用來竊取密碼，但在江南工業(yè)風格的攻擊活動中它還可以用來竊取受感染計算機的文件，并且可以在計算機中自主運行。

Seper是通過帶有附件（以zip壓縮包中的pdf文件）的魚叉式網(wǎng)絡釣魚電子郵件進行傳播，比如：來自一家日本大型企業(yè)集團（西門子公司）的報價請求、來自一家大型歐洲工程公司的一封電子郵件。

Seper惡意軟件執(zhí)行后會映射所有的網(wǎng)絡適配器、禁用Windows防火墻、手機瀏覽器和電子郵件密碼、某些特殊擴展名的文件，隨后將這些信息上傳到FTP服務器。

江南工業(yè)風格的攻擊活動攻擊目標一半以上是制造業(yè)，其次是鋼鐵，工程和綜合企業(yè)，范圍分布：57%以上在韓國，其他的有中國，泰國，日本，印度尼西亞，土耳其，德國，厄瓜多爾和英國的公司。