电子邮件传播的蠕虫激增目标指向工业控制系统

执行摘要

2025年第四季度，通过钓鱼邮件传播的单一恶意软件引发了针对工业控制系统（ICS）和运营技术（OT）网络的电子邮件传播蠕虫的全球激增。根据CyberSecurity News的一份报告，这一活动代表了近年来在OT环境中观察到的最重大的威胁转变之一，蠕虫能够在进入网络边界后无声息地传播。

技术分析

源报告中没有命名负责激增的特定恶意软件家族，也没有与蠕虫传播机制相关的CVE ID。攻击链始于包含恶意附件或链接的钓鱼邮件。在目标系统上执行后，有效载荷表现出类似蠕虫的行为，允许其在网络中自我传播。这种能力在被认为是隔离的、空气隔离或分段的OT网络中特别危险，因为蠕虫可以从最初的IT感染向量横向移动到敏感的控制系统环境中。报告指出，恶意软件被设计为无声操作，避免在建立持久性的同时被检测到，并可能为后续行动（如数据盗窃、侦察或破坏）做准备。

入侵指标

目前没有识别出任何指标。源报告没有提供与活动相关的特定文件哈希值、域名或IP地址。

战术、技术与程序

主要的初始访问向量是钓鱼（T1566），威胁行为者制作的电子邮件可能针对工业或工程人员。然后恶意软件展示了通过可移动媒体传播（T1091）和可能的横向工具传输（T1570）以通过网络共享传播，这是蠕虫行为的标志。这种网络传播技术允许威胁跨越IT-OT边界。该操作依赖于**用户执行（T1204）来触发初始感染。恶意软件的无声、持久性质表明使用了防御规避（TA0005）**技术，尽管没有详细说明具体方法。

威胁行为者背景

源材料没有将这一活动归因于已知的威胁行为者或团体。全球针对ICS/OT环境的定位表明可能的动机范围从国家对齐团体的网络间谍活动到财务动机行为者为破坏性或勒索软件攻击做准备。使用蠕虫进行传播是OT威胁战术的一个显著升级，这些威胁历来更多依赖于有针对性的入侵，而不是自我复制的代码。

缓解措施与建议

拥有ICS/OT资产的组织应将这一激增视为加强基础安全实践的警告。关键缓解措施包括：

• 在企业IT和OT网络之间实施强大的网络分段，配备严格的防火墙规则和监控的非军事区（DMZ）。
• 执行严格的电子邮件安全措施，包括对附件和链接进行高级过滤，以及用户培训以识别钓鱼企图。
• 在所有系统上应用最小权限原则，并禁用可移动媒体的自动运行功能。
• 部署和监控能够识别控制系统环境中异常行为的**专门的OT端点检测和响应（EDR）**解决方案。
• 维护和测试针对OT中断的事件响应和恢复计划，包括关键系统配置的安全、离线备份。