疑似伊朗行为，德国汽车行业遭到长达数年的网络攻击

据悉，一场长达数年的网络钓鱼活动正瞄准德国汽车行业公司，试图用恶意软件窃取密码感染其系统，包括德国汽车制造商和汽车经销商，通过克隆该领域各个组织的合法网站，..了多个相似的域，以便在攻击过程中使用。

这些网站用于发送用德语编写的网络钓鱼电子邮件，并托管下载到目标系统的恶意软件有效负载。

此活动中使用的各种相似域

网络安全解决方案供应商Check Point的研究人员发现了这一活动，并发布了相关的技术报告。报告显示，该网络钓鱼活动于2021年7月左右开始，目前仍在进行中。

例如，下图的网络钓鱼电子邮件假装包含汽车转账收据，发送给目标经销商。

Check Point发现的恶意电子邮件之一

其中还包含一个HTA文件，该文件中有通过HTML走私运行的JavaScript或VBScript代码。

通用感染链

从依赖自动化工具包的“脚本小子”到部署自定义后门的国家级黑客，所有级别的黑客都能使用这种常用技术。

当受害者看到从HTA文件打开的诱饵文档时，恶意代码就会在后台运行，以获取并启动恶意软件有效负载。

诱饵文件

HTA文件的最新版本运行PowerShell代码以更改..表值并启用Microsoft Office套件中的工具，使得威胁行为者无需诱骗接收者启用宏，并且能够提高有效负载丢弃率。

Check Point表示可以追踪到有14个德国汽车制造行业的相关组织遭到攻击，但是报告中没有提到具体的公司名称。

信息窃取有效载荷被托管在伊朗人..的网站（“bornagroup[.]ir”）上，而同样的电子邮件被用于钓鱼网站的子域名，例如“groupschumecher[.]com”。

威胁分析人员找到了不同的针对西班牙桑坦德银行客户的网络钓鱼活动链接，支持该活动的网站被托管在伊朗的ISP上。

威胁行为者的基础设施