四年多來(lái)，卡巴斯基的全球研究和分析團(tuán)隊(duì)（GReAT）一直在發(fā)布高級(jí)持續(xù)威脅（APT）活動(dòng)的季度報(bào)告。

　　最值得注意的發(fā)現(xiàn)

　　在調(diào)查最近的Microsoft Exchange漏洞時(shí)，研究人員和來(lái)自AMR的同事發(fā)現(xiàn)一個(gè)攻擊者部署了一個(gè)之前不為人知的后門“FourteenHi”，研究人員將其命名為ExCone，該活動(dòng)自3月中旬開始活躍。在調(diào)查過(guò)程中，研究人員發(fā)現(xiàn)了FourteenHi的多種工具和變體，F(xiàn)ireEye報(bào)告的基礎(chǔ)設(shè)施與UNC2643活動(dòng)集群相關(guān)。此外，研究人員發(fā)現(xiàn)ShadowPad檢測(cè)與FourteenHi變種攻擊相一致，這可能暗示了這兩個(gè)惡意程序家族之間的共享操作。

　　FourteenHi濫用流行的VLC媒體播放器來(lái)執(zhí)行它的加載程序，可以執(zhí)行基本的后門功能。進(jìn)一步的調(diào)查還揭示了攻擊者在使用后獲得態(tài)勢(shì)感知的腳本，以及之前使用的基礎(chǔ)設(shè)施來(lái)操作Cobalt Strike信標(biāo)。

　　盡管研究人員不能直接將此行為歸因于任何已知的威脅因素，但研究人員發(fā)現(xiàn)了與ShadowPad惡意程序密切相關(guān)的較老的、高度相似的64位后門樣本，主要以其涉及供應(yīng)鏈攻擊的操作為攻擊載體而聞名。值得注意的是，研究人員還發(fā)現(xiàn)在 UNC2643 活動(dòng)集中使用的 64 位樣本中使用了一個(gè) C2 IP，與 HAFNIUM 攻擊者相關(guān)，也使用 Cobalt Strike、DLL 側(cè)加載和利用相同的 Exchange 漏洞。

　　俄語(yǔ)地區(qū)的 APT活動(dòng)

　　5月27日和28日，Volexity和微軟公布了一項(xiàng)針對(duì)歐洲和北美外交機(jī)構(gòu)的持續(xù)電子郵件行動(dòng)的細(xì)節(jié)。這些攻擊分別來(lái)自微軟的Nobelium和Volexity的APT29。雖然研究人員確認(rèn)了惡意程序和可能的攻擊目標(biāo)，但目前研究人員還無(wú)法確定是哪個(gè)攻擊者所為，盡管研究人員發(fā)現(xiàn)了與Kazuar的聯(lián)系。研究人員認(rèn)為它為新的攻擊者并命名為“HotCousin”，攻擊開始于一個(gè)魚叉式釣魚電子郵件，導(dǎo)致ISO文件容器存儲(chǔ)在磁盤上并掛載。這樣，受害者就會(huì)看到一個(gè)LNK文件，看起來(lái)像資源管理器窗口中的一個(gè)文件夾。如果受害者雙擊它，LNK 就會(huì)執(zhí)行一個(gè)用 .NET 編寫的加載程序，稱為 BoomBox 或 DLL。執(zhí)行鏈最終以 Cobalt Strike 信標(biāo)有效載荷加載到內(nèi)存中結(jié)束。根據(jù)公開的研究，攻擊目標(biāo)很普遍，但主要集中在歐洲和北美的外交機(jī)構(gòu)：根據(jù)與惡意程序捆綁在一起的誘餌文件的內(nèi)容，這種評(píng)估似乎是準(zhǔn)確的。這一家族活動(dòng)從 1 月就開始了，有選擇性地瞄準(zhǔn)目標(biāo)，行動(dòng)速度緩慢，然后逐漸增加并在 5 月結(jié)束。根據(jù)其他帶有類似工具標(biāo)記的Cobalt Strike有效載荷和加載程序，有跡象表明，這一攻擊者此前的活動(dòng)至少可以追溯到2020年10月。

　　華語(yǔ)地區(qū)的 APT活動(dòng)

　　在調(diào)查最近針對(duì) Exchange 服務(wù)器的攻擊事件時(shí)，研究人員注意到在幾個(gè)不同的受攻擊網(wǎng)絡(luò)中出現(xiàn)了重復(fù)出現(xiàn)的活動(dòng)集群。這個(gè)集群之所以引人注目，是因?yàn)樗褂昧艘粋€(gè)以前未知的 Windows 內(nèi)核模式 rootkit 和一個(gè)復(fù)雜的多階段惡意程序框架，旨在提供對(duì)受攻擊服務(wù)器的遠(yuǎn)程控制。前者用于向調(diào)查人員和安全解決方案隱藏用戶模式惡意程序的人工制品，同時(shí)展示了一個(gè)有趣的加載方案，該方案涉及名為“Cheat Engine”的開源項(xiàng)目的內(nèi)核模式組件，以繞過(guò) Windows 驅(qū)動(dòng)程序簽名強(qiáng)制機(jī)制。研究人員能夠確定，該工具集早在2020年7月就已經(jīng)在使用，并且主要針對(duì)東南亞目標(biāo)，包括幾個(gè)政府機(jī)構(gòu)和電信公司。由于這是一項(xiàng)長(zhǎng)期存在的操作，具有備受矚目的受害者、先進(jìn)的工具集，另外它與已知的攻擊者沒(méi)有關(guān)聯(lián)，因此研究人員決定將底層集群命名為“GhostEmperor”。

　　APT31（又名ZIRCONIUM）是一個(gè)中文黑客程序。該攻擊者建立了一個(gè) ORB（操作中繼盒）基礎(chǔ)設(shè)施，由幾個(gè)受攻擊者的 SOHO 路由器組成，以針對(duì)位于歐洲（可能還有其他地方）的機(jī)構(gòu)。截至 5 月份發(fā)布報(bào)告時(shí)，研究人員已經(jīng)看到這些 ORB 用于中繼 Cobalt Strike 通信和匿名代理目的。APT31 很可能將它們用于其他植入和結(jié)束，例如，漏洞利用或惡意程序暫存。APT31 部署的大部分基礎(chǔ)設(shè)施包括受攻擊者的 Pakedge 路由器（RK1、RE1 和 RE2）。這個(gè)鮮為人知的開發(fā)者專門從事小型企業(yè)路由器和網(wǎng)絡(luò)設(shè)備。到目前為止，研究人員不知道惡意攻擊程序利用了哪個(gè)特定漏洞來(lái)破壞路由器。研究人員目前也沒(méi)有辦法來(lái)進(jìn)一步了解此活動(dòng)，當(dāng)然，他們將繼續(xù)跟蹤這些活動(dòng)。

　　在研究人員之前關(guān)于 EdwardsPhesant 的報(bào)告之后，DomainTools 和 BitDefender 發(fā)表了關(guān)于針對(duì)東南亞目標(biāo)的惡意活動(dòng)的文章，研究人員相信這些文章是 EdwardsPhesent 活動(dòng)的一部分，可信度非常高。在跟蹤該攻擊者的活動(dòng)、分析第三方發(fā)現(xiàn)或提供的樣本以及從公共IoC 進(jìn)行調(diào)查的同時(shí)，研究人員發(fā)現(xiàn)了一個(gè)更新的 DropPhone 植入程序、一個(gè)由 FoundCore 的 shellcode 加載的附加植入程序、幾個(gè)可能的新攻擊文檔和惡意域名，以及其他目標(biāo)。雖然研究人員不認(rèn)為研究人員對(duì)這組活動(dòng)有一個(gè)完整的了解，但研究人員本季度的報(bào)告標(biāo)志著在了解其范圍方面又邁出了重要的一步。

　　2 月份，一個(gè)帶有中文標(biāo)識(shí)符的 APT 入侵了蒙古的一家證書頒發(fā)機(jī)構(gòu)，并用惡意下載程序替換了數(shù)字證書管理客戶端軟件。研究人員以 BountyGlad 的身份跟蹤這個(gè)組織的活動(dòng)，相關(guān)基礎(chǔ)設(shè)施被識(shí)別并用于其他多個(gè)事件，比如對(duì)香港 WebSphere 和 WebLogic 服務(wù)的服務(wù)器端攻擊；在客戶端，木馬化 Flash Player 安裝程序。通過(guò)這次供應(yīng)鏈攻擊，該組織展示了其復(fù)雜的戰(zhàn)略性攻擊特征。雖然在像證書頒發(fā)機(jī)構(gòu)這樣的高價(jià)值網(wǎng)站上更換合法安裝程序需要中等水平的技能和協(xié)調(diào)，但其技術(shù)復(fù)雜程度與 ShadowHammer 不相上下。雖然該組織部署了相當(dāng)有趣但簡(jiǎn)單的隱寫術(shù)來(lái)掩蓋其 shellcode，但研究人員認(rèn)為它可能是使用多年來(lái)公開可用的代碼生成的。在 2020 年期間，先前與該組織相關(guān)的活動(dòng)也嚴(yán)重依賴魚叉式網(wǎng)絡(luò)釣魚和 Cobalt Strike。一些活動(dòng)涉及 PowerShell 命令和加載程序變體，與研究人員最近報(bào)告中提供的下載程序不同。除了魚叉式網(wǎng)絡(luò)釣魚外，該組織似乎還依靠公開可用的漏洞來(lái)滲透未打補(bǔ)丁的目標(biāo)系統(tǒng)。他們使用植入程序和 C2（命令和控制）代碼，這些代碼是公開可用的和在多個(gè)講中文的 APT 之間私下共享的組合。研究人員能夠跨多個(gè)事件連接基礎(chǔ)設(shè)施。其中一些重點(diǎn)是 2020 年的西方目標(biāo)。BountyGlad 也使用了 2020 年 5 月發(fā)布的 FBI Flash警報(bào)中列出的一些基礎(chǔ)設(shè)施，這些基礎(chǔ)設(shè)施針對(duì)的是進(jìn)行 COVID-19 研究的美國(guó)組織。

　　在調(diào)查攻擊了 TPCon 后門的用戶時(shí)，研究人員檢測(cè)到了加載程序，這是一個(gè)新的多插件惡意程序框架的一部分，研究人員命名為“QSC”，它允許攻擊者在內(nèi)存中加載和運(yùn)行插件。       基于受害者學(xué)和基礎(chǔ)設(shè)施與這些群體使用的其他已知工具的一些重疊，研究人員將此框架的幕后研發(fā)者歸因到華語(yǔ)地區(qū)的一個(gè)組織。到目前為止，研究人員已經(jīng)觀察到惡意程序在內(nèi)存中加載了命令外殼和文件管理器插件。根據(jù)發(fā)現(xiàn)的最古老樣本的編譯時(shí)間戳，研究人員認(rèn)為該框架自2020年4月以來(lái)已經(jīng)在野外使用。然而，研究人員的跟蹤表明該框架仍在使用中，研究人員檢測(cè)到的最新活動(dòng)是在今年 3 月。

　　本月早些時(shí)候，Rostelecom Solar 和 NCIRCC 發(fā)布了一份聯(lián)合公開報(bào)告，描述了針對(duì)俄羅斯政府機(jī)構(gòu)網(wǎng)絡(luò)的一家族攻擊。該報(bào)告描述了一個(gè)以前未知的攻擊者利用攻擊鏈導(dǎo)致部署兩個(gè)植入程序——WebDav-O 和 Mail-O。這些與其他后利用活動(dòng)相結(jié)合，已導(dǎo)致目標(biāo)組織中的網(wǎng)絡(luò)范圍攻擊，從而導(dǎo)致敏感數(shù)據(jù)被泄露。研究人員能夠在追蹤分析中將 WebDav-O 植入程序的活動(dòng)追溯到至少 2018 年，這是一次針對(duì)白俄羅斯政府的攻擊。根據(jù)研究人員的調(diào)查，研究人員能夠找到惡意程序的其他變體，并觀察攻擊者在被攻擊的設(shè)備上執(zhí)行的一些命令。

　　研究人員發(fā)現(xiàn)了一家族針對(duì)特定區(qū)域內(nèi)的電信運(yùn)營(yíng)商的活動(dòng)，大部分活動(dòng)發(fā)生在 2020 年 5 月至 2020 年 10 月。該活動(dòng)雖然使用了多個(gè)惡意程序家族和工具，但是基礎(chǔ)設(shè)施、暫存目錄和國(guó)內(nèi)目標(biāo)配置文件顯示它們之間還是有聯(lián)系的。攻擊者部署了一個(gè)以前未知的后門作為主要植入程序，研究人員稱之為“TPCon”。它后來(lái)被用于在目標(biāo)組織內(nèi)執(zhí)行偵察和部署主要由公開可用工具組成的后攻擊工具集。研究人員還發(fā)現(xiàn)了其他以前未知的活動(dòng)后門，研究人員稱之為“evsroin”，用作二次植入程序。另一個(gè)有趣的發(fā)現(xiàn)是一個(gè)相關(guān)的加載程序（在暫存目錄中找到），它加載了 KABA1 植入變體。KABA1 是一種用于攻擊整個(gè)南海目標(biāo)的植入程序，研究人員將其歸因于 2016 年的 Naikon APT。另一方面，在受影響的主機(jī)上，研究人員發(fā)現(xiàn)了其他多個(gè)由華語(yǔ)地區(qū)攻擊者共享的惡意程序家族，例如 ShadowPad 和 Quarian 后門。這些似乎與TPCon/evsroin事件沒(méi)有直接聯(lián)系，因?yàn)橹С只A(chǔ)設(shè)施似乎是完全獨(dú)立的。其中一個(gè)ShadowPad樣本似乎是在2020年被檢測(cè)到的，而其他樣本則在2019年被檢測(cè)到。除了 Naikon 之外，研究人員還發(fā)現(xiàn)與之前報(bào)道的 IceFog 和 IamTheKing 活動(dòng)存在一些重疊。