四年多來，卡巴斯基的全球研究和分析團隊（GReAT）一直在發(fā)布高級持續(xù)威脅（APT）活動的季度報告。

　　最值得注意的發(fā)現(xiàn)

　　在調(diào)查最近的Microsoft Exchange漏洞時，研究人員和來自AMR的同事發(fā)現(xiàn)一個攻擊者部署了一個之前不為人知的后門“FourteenHi”，研究人員將其命名為ExCone，該活動自3月中旬開始活躍。在調(diào)查過程中，研究人員發(fā)現(xiàn)了FourteenHi的多種工具和變體，F(xiàn)ireEye報告的基礎(chǔ)設(shè)施與UNC2643活動集群相關(guān)。此外，研究人員發(fā)現(xiàn)ShadowPad檢測與FourteenHi變種攻擊相一致，這可能暗示了這兩個惡意程序家族之間的共享操作。

　　FourteenHi濫用流行的VLC媒體播放器來執(zhí)行它的加載程序，可以執(zhí)行基本的后門功能。進一步的調(diào)查還揭示了攻擊者在使用后獲得態(tài)勢感知的腳本，以及之前使用的基礎(chǔ)設(shè)施來操作Cobalt Strike信標。

　　盡管研究人員不能直接將此行為歸因于任何已知的威脅因素，但研究人員發(fā)現(xiàn)了與ShadowPad惡意程序密切相關(guān)的較老的、高度相似的64位后門樣本，主要以其涉及供應(yīng)鏈攻擊的操作為攻擊載體而聞名。值得注意的是，研究人員還發(fā)現(xiàn)在 UNC2643 活動集中使用的 64 位樣本中使用了一個 C2 IP，與 HAFNIUM 攻擊者相關(guān)，也使用 Cobalt Strike、DLL 側(cè)加載和利用相同的 Exchange 漏洞。

　　俄語地區(qū)的 APT活動

　　5月27日和28日，Volexity和微軟公布了一項針對歐洲和北美外交機構(gòu)的持續(xù)電子郵件行動的細節(jié)。這些攻擊分別來自微軟的Nobelium和Volexity的APT29。雖然研究人員確認了惡意程序和可能的攻擊目標，但目前研究人員還無法確定是哪個攻擊者所為，盡管研究人員發(fā)現(xiàn)了與Kazuar的聯(lián)系。研究人員認為它為新的攻擊者并命名為“HotCousin”，攻擊開始于一個魚叉式釣魚電子郵件，導(dǎo)致ISO文件容器存儲在磁盤上并掛載。這樣，受害者就會看到一個LNK文件，看起來像資源管理器窗口中的一個文件夾。如果受害者雙擊它，LNK 就會執(zhí)行一個用 .NET 編寫的加載程序，稱為 BoomBox 或 DLL。執(zhí)行鏈最終以 Cobalt Strike 信標有效載荷加載到內(nèi)存中結(jié)束。根據(jù)公開的研究，攻擊目標很普遍，但主要集中在歐洲和北美的外交機構(gòu)：根據(jù)與惡意程序捆綁在一起的誘餌文件的內(nèi)容，這種評估似乎是準確的。這一家族活動從 1 月就開始了，有選擇性地瞄準目標，行動速度緩慢，然后逐漸增加并在 5 月結(jié)束。根據(jù)其他帶有類似工具標記的Cobalt Strike有效載荷和加載程序，有跡象表明，這一攻擊者此前的活動至少可以追溯到2020年10月。

　　華語地區(qū)的 APT活動

　　在調(diào)查最近針對 Exchange 服務(wù)器的攻擊事件時，研究人員注意到在幾個不同的受攻擊網(wǎng)絡(luò)中出現(xiàn)了重復(fù)出現(xiàn)的活動集群。這個集群之所以引人注目，是因為它使用了一個以前未知的 Windows 內(nèi)核模式 rootkit 和一個復(fù)雜的多階段惡意程序框架，旨在提供對受攻擊服務(wù)器的遠程控制。前者用于向調(diào)查人員和安全解決方案隱藏用戶模式惡意程序的人工制品，同時展示了一個有趣的加載方案，該方案涉及名為“Cheat Engine”的開源項目的內(nèi)核模式組件，以繞過 Windows 驅(qū)動程序簽名強制機制。研究人員能夠確定，該工具集早在2020年7月就已經(jīng)在使用，并且主要針對東南亞目標，包括幾個政府機構(gòu)和電信公司。由于這是一項長期存在的操作，具有備受矚目的受害者、先進的工具集，另外它與已知的攻擊者沒有關(guān)聯(lián)，因此研究人員決定將底層集群命名為“GhostEmperor”。

　　APT31（又名ZIRCONIUM）是一個中文黑客程序。該攻擊者建立了一個 ORB（操作中繼盒）基礎(chǔ)設(shè)施，由幾個受攻擊者的 SOHO 路由器組成，以針對位于歐洲（可能還有其他地方）的機構(gòu)。截至 5 月份發(fā)布報告時，研究人員已經(jīng)看到這些 ORB 用于中繼 Cobalt Strike 通信和匿名代理目的。APT31 很可能將它們用于其他植入和結(jié)束，例如，漏洞利用或惡意程序暫存。APT31 部署的大部分基礎(chǔ)設(shè)施包括受攻擊者的 Pakedge 路由器（RK1、RE1 和 RE2）。這個鮮為人知的開發(fā)者專門從事小型企業(yè)路由器和網(wǎng)絡(luò)設(shè)備。到目前為止，研究人員不知道惡意攻擊程序利用了哪個特定漏洞來破壞路由器。研究人員目前也沒有辦法來進一步了解此活動，當然，他們將繼續(xù)跟蹤這些活動。

　　在研究人員之前關(guān)于 EdwardsPhesant 的報告之后，DomainTools 和 BitDefender 發(fā)表了關(guān)于針對東南亞目標的惡意活動的文章，研究人員相信這些文章是 EdwardsPhesent 活動的一部分，可信度非常高。在跟蹤該攻擊者的活動、分析第三方發(fā)現(xiàn)或提供的樣本以及從公共IoC 進行調(diào)查的同時，研究人員發(fā)現(xiàn)了一個更新的 DropPhone 植入程序、一個由 FoundCore 的 shellcode 加載的附加植入程序、幾個可能的新攻擊文檔和惡意域名，以及其他目標。雖然研究人員不認為研究人員對這組活動有一個完整的了解，但研究人員本季度的報告標志著在了解其范圍方面又邁出了重要的一步。

　　2 月份，一個帶有中文標識符的 APT 入侵了蒙古的一家證書頒發(fā)機構(gòu)，并用惡意下載程序替換了數(shù)字證書管理客戶端軟件。研究人員以 BountyGlad 的身份跟蹤這個組織的活動，相關(guān)基礎(chǔ)設(shè)施被識別并用于其他多個事件，比如對香港 WebSphere 和 WebLogic 服務(wù)的服務(wù)器端攻擊；在客戶端，木馬化 Flash Player 安裝程序。通過這次供應(yīng)鏈攻擊，該組織展示了其復(fù)雜的戰(zhàn)略性攻擊特征。雖然在像證書頒發(fā)機構(gòu)這樣的高價值網(wǎng)站上更換合法安裝程序需要中等水平的技能和協(xié)調(diào)，但其技術(shù)復(fù)雜程度與 ShadowHammer 不相上下。雖然該組織部署了相當有趣但簡單的隱寫術(shù)來掩蓋其 shellcode，但研究人員認為它可能是使用多年來公開可用的代碼生成的。在 2020 年期間，先前與該組織相關(guān)的活動也嚴重依賴魚叉式網(wǎng)絡(luò)釣魚和 Cobalt Strike。一些活動涉及 PowerShell 命令和加載程序變體，與研究人員最近報告中提供的下載程序不同。除了魚叉式網(wǎng)絡(luò)釣魚外，該組織似乎還依靠公開可用的漏洞來滲透未打補丁的目標系統(tǒng)。他們使用植入程序和 C2（命令和控制）代碼，這些代碼是公開可用的和在多個講中文的 APT 之間私下共享的組合。研究人員能夠跨多個事件連接基礎(chǔ)設(shè)施。其中一些重點是 2020 年的西方目標。BountyGlad 也使用了 2020 年 5 月發(fā)布的 FBI Flash警報中列出的一些基礎(chǔ)設(shè)施，這些基礎(chǔ)設(shè)施針對的是進行 COVID-19 研究的美國組織。

　　在調(diào)查攻擊了 TPCon 后門的用戶時，研究人員檢測到了加載程序，這是一個新的多插件惡意程序框架的一部分，研究人員命名為“QSC”，它允許攻擊者在內(nèi)存中加載和運行插件。       基于受害者學和基礎(chǔ)設(shè)施與這些群體使用的其他已知工具的一些重疊，研究人員將此框架的幕后研發(fā)者歸因到華語地區(qū)的一個組織。到目前為止，研究人員已經(jīng)觀察到惡意程序在內(nèi)存中加載了命令外殼和文件管理器插件。根據(jù)發(fā)現(xiàn)的最古老樣本的編譯時間戳，研究人員認為該框架自2020年4月以來已經(jīng)在野外使用。然而，研究人員的跟蹤表明該框架仍在使用中，研究人員檢測到的最新活動是在今年 3 月。

　　本月早些時候，Rostelecom Solar 和 NCIRCC 發(fā)布了一份聯(lián)合公開報告，描述了針對俄羅斯政府機構(gòu)網(wǎng)絡(luò)的一家族攻擊。該報告描述了一個以前未知的攻擊者利用攻擊鏈導(dǎo)致部署兩個植入程序——WebDav-O 和 Mail-O。這些與其他后利用活動相結(jié)合，已導(dǎo)致目標組織中的網(wǎng)絡(luò)范圍攻擊，從而導(dǎo)致敏感數(shù)據(jù)被泄露。研究人員能夠在追蹤分析中將 WebDav-O 植入程序的活動追溯到至少 2018 年，這是一次針對白俄羅斯政府的攻擊。根據(jù)研究人員的調(diào)查，研究人員能夠找到惡意程序的其他變體，并觀察攻擊者在被攻擊的設(shè)備上執(zhí)行的一些命令。

　　研究人員發(fā)現(xiàn)了一家族針對特定區(qū)域內(nèi)的電信運營商的活動，大部分活動發(fā)生在 2020 年 5 月至 2020 年 10 月。該活動雖然使用了多個惡意程序家族和工具，但是基礎(chǔ)設(shè)施、暫存目錄和國內(nèi)目標配置文件顯示它們之間還是有聯(lián)系的。攻擊者部署了一個以前未知的后門作為主要植入程序，研究人員稱之為“TPCon”。它后來被用于在目標組織內(nèi)執(zhí)行偵察和部署主要由公開可用工具組成的后攻擊工具集。研究人員還發(fā)現(xiàn)了其他以前未知的活動后門，研究人員稱之為“evsroin”，用作二次植入程序。另一個有趣的發(fā)現(xiàn)是一個相關(guān)的加載程序（在暫存目錄中找到），它加載了 KABA1 植入變體。KABA1 是一種用于攻擊整個南海目標的植入程序，研究人員將其歸因于 2016 年的 Naikon APT。另一方面，在受影響的主機上，研究人員發(fā)現(xiàn)了其他多個由華語地區(qū)攻擊者共享的惡意程序家族，例如 ShadowPad 和 Quarian 后門。這些似乎與TPCon/evsroin事件沒有直接聯(lián)系，因為支持基礎(chǔ)設(shè)施似乎是完全獨立的。其中一個ShadowPad樣本似乎是在2020年被檢測到的，而其他樣本則在2019年被檢測到。除了 Naikon 之外，研究人員還發(fā)現(xiàn)與之前報道的 IceFog 和 IamTheKing 活動存在一些重疊。