卡巴斯基ICS CERT公布了其研究系列的最后一部分，这部分重点研究了针对东欧工业组织的攻击。此最新公告调查了第三阶段恶意软件，该阶段恶意软件用来将文件上传到Dropbox，并与其他恶意软件植入程序协调以窃取数据。

第三阶段的数据泄露活动本身涉及一个三步恶意软件执行链。首先，此执行链建立持久性并协调第二步恶意软件模块的部署和启动。该模块负责在第三步模块的帮助下将收集到的文件上传到远程服务器。这种复杂的架构允许威胁行为者通过替换链中的单个模块来重新调整执行流程。在某些情况下，该执行链可用于从与互联网隔离的网段进行数据泄露，方法是为受害者网络内的被盗数据设置中间/代理存储。

在这场不断演变的网络攻击活动中，威胁行为者部署了一个恶意软件链，用于访问 Outlook 邮箱文件、执行远程命令以及将本地或远程“.rar ”文件上传到 Dropbox。

此外，我们的调查还强调了手动数据传输工具的使用。其中一个工具专门用于将文件移入或移出 Yandex Disk，而另一个工具则可将文件轻松上传到 16 个临时文件共享服务。第三个工具是从Yandex Disk下载的，具有将植入链执行日志数据发送到 Yandex 邮件账户的功能。

通过这些见解，我们可以一窥威胁行为者复杂的数据泄露技术。

“我们的全面分析强调了威胁行为者在获取敏感数据时的高适应性。通过揭示这些先进植入物的机制，我们为网络安全社区提供了关键知识，以加强对日益复杂的攻击的防御，”卡巴斯基ICS CERT高级安全研究员Kirill Kruglov评论说。

要查看这次攻击行动第三阶段的完整报告，请访问ICS CERT网站。

为了保护您的OT计算机免遭各类威胁的侵害，卡巴斯基专家建议：

对OT系统进行定期的安全评估，以发现和消除可能存在的网络安全问题。