針對性攻擊事件

　　SolarWinds供應(yīng)鏈攻擊事件

　　2020年12 月，國際IT管理軟件供應(yīng)商SolarWinds被發(fā)現(xiàn)其Orion軟件更新服務(wù)器上存在一個受感染的更新程序，此次事件導(dǎo)致世界各地超18,000 名 SolarWinds 客戶（包括許多大型公司和政府機構(gòu)）受到感染，受害者機器上被部署了名為 Sunburst的自定義后門。

　　此次攻擊行動中較為與眾不同的是對特定受害者的分析和驗證方案。在受惡意軟件影響的18,000個Orion IT客戶中，攻擊者似乎只對少數(shù)幾個感興趣。此外攻擊者采用了多種方法來盡可能長時間地保持隱蔽性，例如在首次與其C2建立連接之前，Sunburst惡意軟件處于休眠狀態(tài)長達兩個星期，從而無法輕易在沙箱中檢測到其行為。

　　對 Sunburst 后門的進一步調(diào)查揭示它與 Kazuar后門有所關(guān)聯(lián)，后者是 2017 年公布的 .NET 后門，目前歸于Turla APT 組織。Sunburst 和 Kazuar 之間的共通點包括：受害者 UID 生成算法、初始睡眠算法以及廣泛使用FNV1a散列來混淆字符串比較。這背后有幾種可能性，一是Sunburst可能與 Kazuar 由同一組人員開發(fā)，Sunburst的開發(fā)人員采用了Kazuar的一些代碼；二是Kazuar某些開發(fā)人員進了Sunburst團隊；三是Sunburst的開發(fā)人員故意留下這些線索誤導(dǎo)分析。

　　Lazarus組織攻擊國防工業(yè)

　　Lazarus是當今最多產(chǎn)、活躍的威脅組織之一，參與了多起大規(guī)模的網(wǎng)絡(luò)間諜、勒索軟件、加密貨幣的攻擊行動。

　　從2020年初開始，該威脅組織一直在使用一個被稱為ThreatNeedle的定制后門程序?qū)κ畮讉€國家的國防工業(yè)目標實施攻擊。該后門會在受感染網(wǎng)絡(luò)內(nèi)橫向移動，收集敏感信息。

初始感染一般通過魚叉式釣魚攻擊進行，以新冠疫情或疫苗接種的名義誘使受害者點擊，惡意文檔后釋放惡意軟件，后者進入下一階段的部署過程。安裝后，ThreatNeedle會獲得受害者設(shè)備的完全控制權(quán)，這意味著攻擊者可以做任何事情，從操縱文件到執(zhí)行接收到的命令。

　　在獲得初始的立足點后，攻擊者收集憑證并橫向移動，在受害者的環(huán)境中尋找關(guān)鍵資產(chǎn)。他們通過訪問內(nèi)部路由器并將其配置為代理服務(wù)器來克服網(wǎng)絡(luò)分段，從而將被盜數(shù)據(jù)從受害者的內(nèi)聯(lián)網(wǎng)泄露到遠程服務(wù)器。

　　下圖展示了Lazarus使用的ThreatNeedle武器集與其他武器集的關(guān)聯(lián)。

　　MS Exchange 0 day漏洞被廣泛利用

　　3月2日，微軟發(fā)布了針對Exchange Server中的四個0day漏洞（CVE-2021-26855、CVE-2021-26857、CVE-2021-26858和CVE-2021-27065）的帶外補丁。通過這些漏洞，攻擊者無需身份驗證或訪問個人電子郵件帳戶即可從Exchange服務(wù)器讀取電子郵件。而通過后面的漏洞鏈接，攻擊者則能夠完全接管郵件服務(wù)器。

　　一旦攻擊者接管了Exchange服務(wù)器，他們就可以將網(wǎng)絡(luò)連接至互聯(lián)網(wǎng)并開始遠程訪問。許多Exchange服務(wù)器都具有internet exposer功能（特別是Outlook Web Access功能），并集成到更廣泛的網(wǎng)絡(luò)中，這對數(shù)百萬組織構(gòu)成了嚴重的安全風險。

　　這些漏洞似乎至少從今年1月初開始就被利用。全球各地的公司都成為利用這些漏洞的攻擊的目標，其中最集中在歐洲和美國。

　　微軟將這些攻擊歸咎于一個名為 Hafnium的威脅行為者，并稱該組織歷來以美國機構(gòu)為目標，包括傳染病研究人員、律師事務(wù)所、高等教育機構(gòu)、國防承包商、政策智庫和非政府組織等。

　　Ecipekac：在 A41APT 活動中發(fā)現(xiàn)的復(fù)雜多層加載程序

　　A41APT是一項長期運行的活動，從2019年3月到2020年12月底檢測到過。該活動源于初始感染中使用的攻擊者系統(tǒng)的主機名“ DESKTOP-A41UVJV”。攻擊者利用Pulse Connect Secure中的漏洞，或利用先前操作中被盜的系統(tǒng)憑據(jù)來劫持VPN會話。

　　此活動中的一種特定惡意軟件稱為Ecipekac（又名 DESLoader、SigLoader 和 HEAVYHAND），它是一個非常復(fù)雜的多層加載程序模塊，用于交付有效負載，如SodaMaster（又名DelfsCake，dfls和DARKTOWN），P8RAT（又名GreetCake和HEAVYPOT）和FYAnti（又名DILLJUICE stage2），進而加載 QuasarRAT。

　　該活動的操作和植入都非常隱蔽，威脅行為者實施了多項措施來隱藏自己并使其更難以分析，因此很難跟蹤威脅行為者的活動。活動中使用的大多數(shù)惡意軟件系列都是無文件惡意軟件，以前從未見過。

　　我們認為 Ecipekac惡意軟件最重要的方面是將加密的shellcode插入到數(shù)字簽名的 DLL 中而不會影響數(shù)字簽名的有效性。使用此技術(shù)時，某些安全解決方案無法檢測到這些植入程序。從 P8RAT 和 SodaMaster 后門的主要特征來看，這些模塊是負責下載更多惡意軟件的下載器，但這些惡意軟件我們迄今為止無法獲得。

　　其他惡意行動

　　偽裝成廣告攔截器的礦機

　　前段時間，我們發(fā)現(xiàn)了一些偽造的應(yīng)用程序被用來向目標計算機提供加密貨幣礦機。偽造程序是通過惡意網(wǎng)站分發(fā)的，這些網(wǎng)站可能會列在受害者的搜索結(jié)果中，比如有點惡意軟件偽裝成 Malwarebytes防病毒安裝程序。在最新的觀察中，又有惡意軟件冒充了多個應(yīng)用程序：廣告攔截器 AdShield 和 Netshield，以及 OpenDNS服務(wù)等。

　　受害者啟動程序后，惡意軟件會更改設(shè)備上的 DNS 設(shè)置，以便通過攻擊者的服務(wù)器解析所有域，進而阻止受害者訪問某些防病毒站點。然后惡意軟件會自我更新，下載并運行經(jīng)過修改的傳輸 Torrent 客戶端，該客戶端會將目標計算機的 ID 以及安裝詳細信息發(fā)送到 C2 服務(wù)器，接著下載并安裝礦機。

　　卡巴斯基數(shù)據(jù)顯示，從 2021 年 2 月至今，超過 7,000 名用戶的設(shè)備有安裝虛假應(yīng)用程序的動作。在當前活動的高峰期，每天有超過 2,500 人受到攻擊，大多數(shù)受害者位于俄羅斯和獨聯(lián)體國家。

　　加密虛擬硬盤的勒索軟件

　　勒索軟件團伙正在利用 VMware ESXi中的漏洞攻擊虛擬硬盤并加密存儲在其中的數(shù)據(jù)。ESXi 管理程序允許多個虛擬機使用 SLP（服務(wù)層協(xié)議）在單個服務(wù)器上存儲信息。

　　第一個漏洞（CVE-2019-5544）可用于進行堆溢出攻擊，第二個 （CVE-2020-3992） 是一個 Use-After-Free （UAF 漏洞，與程序運行期間不正確使用動態(tài)內(nèi)存有關(guān)。一旦攻擊者能夠在目標網(wǎng)絡(luò)中獲得初步立足點，他們就可以利用這些漏洞生成惡意 SLP 請求并破壞數(shù)據(jù)存儲。

　　RansomExx勒索軟件背后的團伙正在利用這些漏洞，Darkside組織也在使用相同的方法，而BabuLocker木馬背后的攻擊者也暗示他們能夠加密ESXi。

　　針對macOS的惡意軟件

　　去年年底，蘋果推出了由自己的M1芯片搭載的設(shè)備，旨在取代其計算機中的英特爾處理器。在第一臺 Apple M1計算機發(fā)布僅僅幾個月后，黑客就已經(jīng)重新編譯了代碼以使其適應(yīng)新的架構(gòu)。

　　這其中包括XCSSET的開發(fā)人員。XCSSET是去年首次發(fā)現(xiàn)的惡意軟件，它將惡意負載注入Mac上的 Xcode IDE 項目，此有效負載隨后在Xcode 中構(gòu)建項目文件期間執(zhí)行。XCSSET 模塊能夠讀取和轉(zhuǎn)儲 Safari cookie，將惡意JavaScript代碼注入各種網(wǎng)站，從 Notes、微信、Skype、Telegram 等應(yīng)用程序中竊取文件和信息，并對文件進行加密。我們觀察到的樣本中就包括一些專門為 Apple Silicon 芯片編譯的樣本。

　　Silver Sparrow 是另一款針對 M1 芯片的惡意軟件。這類惡意軟件引入了一種濫用默認封裝功能的新方法：不將惡意負載放置在預(yù)安裝或安裝后腳本中，而是將其隱藏在分發(fā) XML 文件中。此有效負載使用 JavaScript API 運行 bash 命令以下載 JSON 配置文件，從“downloadURL”字段中提取 URL 以供下次下載。還為惡意樣本的持續(xù)執(zhí)行創(chuàng)建了適當?shù)膯哟?。無論芯片架構(gòu)如何，JavaScript負載都可以執(zhí)行，對包文件的分析表明它同時支持Intel和M1芯片。

　　在macOS 平臺檢測到的大多數(shù)惡意對象都是廣告軟件。這些程序的開發(fā)人員也在更新代碼以支持 M1 芯片，比如 Pirrit 和 Bnodlero 家族。

　　網(wǎng)絡(luò)犯罪分子不只是增加對新平臺的拓展，有時他們會使用新的編程語言來開發(fā)“產(chǎn)品”。最近，macOS 廣告軟件開發(fā)人員越來越關(guān)注新語言的運用，前段時間有不少用 Go 編寫的樣本，而最近網(wǎng)絡(luò)犯罪分子又將注意力轉(zhuǎn)向了Rust，比如 Convuster廣告軟件程序。

　　跟蹤軟件

　　跟蹤軟件是一種商用軟件，指在他人不知情或未經(jīng)他人同意的情況下通過他們的設(shè)備監(jiān)視他人。歐洲性別平等研究所在2017 年的一份報告中表示，每 10 名受在線跟蹤影響的女性中，就有7人遭受過施暴者的身體暴力。反跟蹤軟件聯(lián)盟將跟蹤軟件定義為“可能促進伴侶監(jiān)視、騷擾、虐待、跟蹤或暴力”的軟件。

　　近年來，受跟蹤軟件影響的人數(shù)一直在增加，2020 年的人數(shù)受疫情影響有所下降，不過53,870 是一個很大的數(shù)字，而且這格數(shù)字是卡巴斯基客戶的數(shù)量，那么實際數(shù)字要高得多。

　　2020年最常檢測到的跟蹤軟件樣本是Monitor.AndroidOS.Nidb.a。此應(yīng)用程序以其他名稱的形式出售，如iSpyoo、TheTruthSpy 和 Copy9，也有以防盜保護程序出售的Cerberus，Cerberus 可以訪問地理位置、拍照、截屏、錄制聲音，類似的還有Track My Phone（檢測為 Agent.af）、MobileTracker 和 Anlost。

　　全球檢測到的跟蹤軟件樣本前 10 名：

　　跟蹤軟件檢測數(shù)量最多的是俄羅斯、巴西和美國。

　　全球受跟蹤軟件影響最嚴重的 10 個國家/地區(qū)：

　　2019 年，卡巴斯基和其他九名成員創(chuàng)建了反跟蹤軟件聯(lián)盟，并于去年創(chuàng)建了 TinyCheck，這是一個免費工具，用于檢測移動設(shè)備上的跟蹤軟件——專門為可能面臨家庭暴力的人提供的。

　　對企業(yè)的人肉搜索

　　當提到人肉搜索時，人們往往認為它只適用于知名人士，但公司機密信息在泄露后同樣容易導(dǎo)致其成為受害者，比如多個勒索軟件團伙就以泄露被盜公司數(shù)據(jù)的名義索要大額贖金。

　　網(wǎng)絡(luò)犯罪分子使用各種方法來收集機密的公司信息。

　　最簡單的方法之一是使用開源情報 （OSINT）——即從可公開訪問的來源收集數(shù)據(jù)?；ヂ?lián)網(wǎng)為潛在的攻擊者提供了許多有用的信息，包括員工的姓名和職位，包括在公司擔任關(guān)鍵職位的人。

　　從員工的在線個人資料中收集的信息可用于設(shè)置 BEC（商業(yè)電子郵件威脅）攻擊，攻擊者通過冒充不同的員工與合作伙伴公司通信，說服目標執(zhí)行某些操作，例如發(fā)送機密數(shù)據(jù)或?qū)①Y金轉(zhuǎn)移到攻擊者控制的帳戶。BEC 攻擊還可用于收集有關(guān)公司的更多信息或訪問有價值數(shù)據(jù)或公司資源，例如基于云的系統(tǒng)的憑據(jù)。

　　網(wǎng)絡(luò)犯罪分子還可以通過發(fā)送包含跟蹤像素的電子郵件獲取受害者的信息，諸如打開電子郵件的時間、收件人郵件客戶端的版本和 IP 地址等數(shù)據(jù)。這些數(shù)據(jù)讓攻擊者可以冒充受害人用于隨后的攻擊。

　　網(wǎng)絡(luò)釣魚仍然是攻擊者收集公司數(shù)據(jù)的有效方式。例如，攻擊者可能會模仿SharePoin 等業(yè)務(wù)平臺向員工發(fā)送釣魚鏈接，員工點擊鏈接后被重定向到釣魚網(wǎng)站，輸入公司帳戶憑據(jù)數(shù)據(jù)后被攻擊者捕獲。

　　除了郵件釣魚，還有電話釣魚的方式，要么直接致電員工并試圖“釣魚”公司信息，要么發(fā)送消息并要求他們撥打提供的號碼——這種方法曾在2020年7月的 Twitter黑客事件中使用過，甚至出現(xiàn)了網(wǎng)絡(luò)犯罪分子獲取某國際公司CEO的音視頻內(nèi)容，利用deepfake技術(shù)模仿CEO的聲音，說服該公司某分公司的管理團隊向騙子轉(zhuǎn)賬的案例。