卡巴斯基 ICS CERT 公布了其研究系列的最后一部分，这部分重点研究了针对东欧工业组织的攻击。此最新公告调查了第三阶段恶意软件，该阶段恶意软件用来将文件上传到 Dropbox，并与其他恶意软件植入程序协调以窃取数据。

第三阶段的数据泄露活动本身涉及一个三步恶意软件执行链。首先，此执行链建立持久性并协调第二步恶意软件模块的部署和启动。

该模块负责在第三步模块的帮助下将收集到的文件上传到远程服务器。这种复杂的架构允许威胁行为者通过替换链中的单个模块来重新调整执行流程。在某些情况下，该执行链可用于从与互联网隔离的网段进行数据泄露，方法是为受害者网络内的被盗数据设置中间/代理存储。

在这场不断演变的网络攻击活动中，威胁行为者部署了一个恶意软件链，用于访问 Outlook 邮箱文件、执行远程命令以及将本地或远程“.rar”文件上传到 Dropbox。

此外，我们的调查还强调了手动数据传输工具的使用。其中一个工具专门用于将文件移入或移出 Yandex Disk，而另一个工具则可将文件轻松上传到 16 个临时文件共享服务。第三个工具是从 Yandex Disk 下载的，具有将植入链执行日志数据发送到 Yandex 邮件账户的功能。

通过这些发现，我们可以一窥威胁行为者复杂的数据泄露技术。

“我们的全面分析强调了威胁行为者在获取敏感数据时的高适应性。通过揭示这些高级植入物的机制，我们为网络安全社区提供了关键知识，以加强对日益复杂的攻击的防御。”

为了保护您的 OT 计算机免遭各类威胁的侵害，卡巴斯基专家建议：

对 OT 系统进行定期的安全评估，以发现和消除可能存在的网络安全问题。

建立持续的漏洞评估和分类系统，作为有效漏洞管理流程的基础。像卡巴斯基工业网络安全这样的专用解决方案可能会成为一个有效的助手和独特的可操作信息的来源，而这些信息不是完全公开的。

对企业 OT 网络的关键组件进行及时更新；在技术上可行的情况下尽快应用安全修复和补丁或实施补偿措施，这对于防止因生产过程中断而可能造成数百万美元损失的重大事件至关重要。

使用集成式攻击检测和防御解决方案（如卡巴斯基工业网络安全），以及时检测和预防复杂威胁、进行调查和有效的事件修复。

通过建立和加强团队的事件预防、检测和响应技能，改进对最新和高级恶意技术的响应能力。为 IT 安全团队和 OT 人员提供专门的 OT 安全培训是可以帮助实现这一目标的关键措施之一。