四年多來，卡巴斯基的全球研究和分析團(tuán)隊(duì)（GReAT）一直在發(fā)布高級(jí)持續(xù)攻擊（APT）活動(dòng)的季度摘要，這些摘要基于他們的攻擊情報(bào)研究。

　　最值得注意的發(fā)現(xiàn)

　　去年12月報(bào)道的SolarWinds事件之所以引人注目，是因?yàn)楣粽邩O其小心，受害者的身份也備受矚目。有證據(jù)表明，此次攻擊的幕后主使DarkHalo（又名Nobelium） 已經(jīng)在 OrionIT 的網(wǎng)絡(luò)中花費(fèi)了六個(gè)月的時(shí)間來完善他們的攻擊。今年 6 月，也就是基于SolarWinds 開發(fā)的 DarkHalo的六個(gè)多月后，研究人員觀察到了一個(gè)獨(dú)聯(lián)體成員國(guó)的多個(gè)政府區(qū)域的 DNS 劫持事件，這使得攻擊者可以將流量從政府郵件服務(wù)器重定向到他們控制的計(jì)算機(jī)上，這可能是通過獲取憑據(jù)來實(shí)現(xiàn)的受害者登記員的控制面板。當(dāng)受害者試圖訪問他們的公司郵件時(shí)，他們被重定向到一個(gè)偽造的網(wǎng)絡(luò)頁(yè)面。隨后，他們被誘騙下載了以前未知的惡意軟件。這個(gè)被稱為 Tomiris 的后門與 DarkHalo 去年使用的第二階段惡意軟件 Sunshuttle（又名 GoldMax）有許多相似之處。然而，Tomiris 和 Kazuar 之間也存在許多重疊，Kazuar 是一個(gè)與 Turla APT 攻擊者相關(guān)聯(lián)的后門。沒有任何相似之處足以將 Tomiris 和 Sunshuttle聯(lián)系起來。然而，這表明了它們有共同的開發(fā)者或共享開發(fā)代碼的可能性。

　　俄語地區(qū)的APT活動(dòng)

　　本季度，研究人員發(fā)現(xiàn)了幾個(gè)典型的 Gamaredon 惡意感染文件、 dropper和植入程序；這可能表明針對(duì)烏克蘭政府的惡意活動(dòng)正在進(jìn)行，可能從5月份開始就很活躍。目前研究人員還無法準(zhǔn)確識(shí)別相關(guān)的感染鏈，因?yàn)樗麄冎荒軝z索到其中的一部分樣本。但這并不影響研究人員將其歸因于 Gamaredon。本文詳細(xì)介紹了各種 dropper 以及解碼器腳本，以及對(duì) DStealer 后門和研究人員觀察到的與該活動(dòng)相關(guān)的大型基礎(chǔ)設(shè)施的分析。

　　ReconHellcat 是一個(gè)鮮為人知的攻擊者，于 2020 年被公開發(fā)現(xiàn)。其活動(dòng)的第一個(gè)帳戶可以追溯到去年 3 月，其中，MalwareHunterTeam 在推文中描述了一個(gè)帶有包含惡意可執(zhí)行文件的 COVID 相關(guān)誘餌文件名的archive, dubbed中的惡意植入程序。

　　BlackWater 反過來會(huì)釋放并打開一個(gè)誘餌文件，然后作為 C2 服務(wù)器聯(lián)系 Cloudflare Workers，這是其他攻擊者在使用時(shí)通常不會(huì)使用的方法。自從首次發(fā)現(xiàn)這種攻擊方式以來，類似的 TTP 已被用作 QuoIntelligence 涵蓋的其他攻擊的一部分，這表明潛在攻擊者正在以有針對(duì)性的方式運(yùn)作，同時(shí)追蹤與政府相關(guān)的知名目標(biāo)。這種活動(dòng)似乎一直持續(xù)到 2021 年，當(dāng)時(shí)研究人員發(fā)現(xiàn)了一系列最近使用相同技術(shù)和惡意軟件的攻擊，以在位于中亞的外交組織中站穩(wěn)腳跟。在研究人員的私人報(bào)告中，研究人員描述了這項(xiàng)活動(dòng)，著眼于攻擊者對(duì)感染鏈中的元素所做的各種變化，這可能是由于之前公開曝光其活動(dòng)造成的。

　　從那時(shí)起，研究人員發(fā)現(xiàn)了由 ReconHellcat 操作的其他文件。8 月到 9 月間出現(xiàn)了一個(gè)新的活動(dòng)，其感染鏈不斷發(fā)展。Zscaler 的研究人員也在一篇文章中介紹了這項(xiàng)活動(dòng)。更新后的攻擊活動(dòng)中引入的一些變化包括依賴 Microsoft Word 模板 （。dotm） 來實(shí)現(xiàn)持久性，而不是以前使用的 Microsoft Word 加載項(xiàng) （。wll）。盡管如此，一些 TTP 保持不變，因?yàn)樾碌母腥炬溔匀惶峁┫嗤淖罱K植入程序—— Blacksoul 惡意軟件，并且仍然使用 Cloudflare Workers 作為 C2 服務(wù)器。ReconHellcat 的目標(biāo)是塔吉克斯坦、吉爾吉斯斯坦、巴基斯坦和土庫(kù)曼斯坦等中亞國(guó)家相關(guān)的政府組織和外交對(duì)象。此外，研究人員還確定了在前一波攻擊中沒有遇到的兩個(gè)國(guó)家：阿富汗和烏茲別克斯坦。因此研究人員認(rèn)為是ReconHellcat 的。

　　華語地區(qū)的活動(dòng)

　　一名疑似為 HoneyMyte 的 APT 攻擊者修改了南亞某國(guó)傳播服務(wù)器上的指紋掃描儀軟件安裝程序包。APT 修改了一個(gè)配置文件，并將一個(gè)帶有 .NET 版本的 PlugX 注入器的 DLL 添加到安裝程序包中。在安裝時(shí)，即使沒有網(wǎng)絡(luò)連接，。NET 注入器也會(huì)解密 PlugX 后門載荷并將其注入新的 svchost 系統(tǒng)進(jìn)程，并嘗試向 C2 發(fā)送信標(biāo)。南亞某個(gè)國(guó)家的中央政府員工必須使用此生物識(shí)別包來支持記錄出勤。研究人員將此供應(yīng)鏈?zhǔn)录痛颂囟?PlugX 變體稱為 SmudgeX，木馬安裝程序似乎已從 3 月就開始了。

　　在 2020 年和 2021 年期間，研究人員檢測(cè)到一個(gè)名為 ShadowShredder 的新 ShadowPad 加載模塊，該模塊用于攻擊多個(gè)國(guó)家/地區(qū)的關(guān)鍵基礎(chǔ)設(shè)施，包括但不限于印度、中國(guó)、加拿大、阿富汗和烏克蘭。經(jīng)過進(jìn)一步調(diào)查，研究人員還發(fā)現(xiàn)了通過 ShadowPad 和 ShadowShredder 部署的其他植入程序，例如 Quarian 后門、PlugX、Poison Ivy 和其他黑客工具。值得注意的是，Quarian 后門和 Poison Ivy 與之前針對(duì)中亞用戶的 IceFog 活動(dòng)表現(xiàn)出相似之處。ShadowPad 是 APT 組織自 2017 年以來一直使用的高度復(fù)雜的模塊化網(wǎng)絡(luò)攻擊平臺(tái)。當(dāng)時(shí)研究人員發(fā)表了一篇博客，詳細(xì)介紹了 ShadowPad 的技術(shù)細(xì)節(jié)及其最初發(fā)現(xiàn)后的供應(yīng)鏈攻擊活動(dòng)，當(dāng)時(shí)它被稱為Barium或 APT41 的組織部署。在 2020 年第一季度，研究人員發(fā)布了有關(guān)發(fā)現(xiàn) x64 ShadowPad 滴管樣本的私人報(bào)告。加載模塊使用了一種獨(dú)特的反分析技巧，該技巧涉及加載模塊在解密嵌入的 shellcode 之前，通過在加載模塊的內(nèi)存空間中查看一些硬編碼字節(jié)來檢查它是否是通過特定的 EXE 文件加載的。研究人員最近發(fā)現(xiàn)的ShadowShredder加載器并沒有使用這種技術(shù)，而是采用了一種新的混淆方法。研究人員的報(bào)告討論了與 ShadowShredder 和 ShadowPad 有關(guān)的第二階段有效載荷的 ShadowShredder 和相關(guān)活動(dòng)的技術(shù)分析。

　　ESET今年6月發(fā)表了一篇博客文章，描述了一場(chǎng)針對(duì)非洲和中東外交部長(zhǎng)和電信公司的活動(dòng)，他們稱之為“后門外交”（BackdoorDiplomacy）。研究人員非常自信地將此活動(dòng)與CloudComputating的攻擊者聯(lián)系起來，該攻擊者以中東知名對(duì)象為目標(biāo)。在調(diào)查中，ESET 發(fā)現(xiàn)了一個(gè)與 Windows 變體共享 C2 服務(wù)器的 Quarian Linux 變體樣本，據(jù)報(bào)道，該變體樣本是通過利用 F5 Networks 的 BIG-IP 流量管理用戶界面或配置實(shí)用程序中的已知 RCE 漏洞 （CVE-2020-5902） 部署的。一年前的 2020 年 7 月，SANS ISC 報(bào)告中還提到在 F5 BIG-IP 服務(wù)器上部署了相同的 Quarian ELF 二進(jìn)制文件。本文擴(kuò)展了對(duì) Quarian Linux 變體及其與 Windows 版本的聯(lián)系的分析。

　　去年，研究人員描述了一場(chǎng)歸因于 CloudComputating 的活動(dòng)，其中 APT 攻擊者利用了一個(gè)已知漏洞來破壞公開暴露的 Microsoft Exchange 服務(wù)器，并使用 China Chopper Web shell 感染它們。惡意載荷隨后被用于上傳其他惡意軟件，通常是自 2010 年左右開始被攻擊者使用的 Quarian 后門。該活動(dòng)影響了埃塞俄比亞、巴勒斯坦和科威特。ESET 的博客文章使研究人員能夠?qū)⑺麄兊幕顒?dòng)與研究人員去年 6 月描述的活動(dòng)聯(lián)系起來，并擴(kuò)展研究人員之前的調(diào)查以尋找新的未知變體和受害者。本文也會(huì)介紹被稱為 Turian 的 ESET 版本、另外兩個(gè)以前未知的 Quarian 版本、用于生成惡意 Quarian 庫(kù)的構(gòu)建器組件的概述以及 IoC 的擴(kuò)展列表。

　　ExCone 是 3 月中旬開始針對(duì)俄羅斯聯(lián)邦目標(biāo)發(fā)起的一系列攻擊，攻擊者利用 Microsoft Exchange 漏洞部署了一個(gè)被稱之為 FourteenHI 的以前未知的木馬。在研究人員之前的分析中，他們發(fā)現(xiàn)基礎(chǔ)設(shè)施和 TTP 與 ShadowPad 惡意軟件和 UNC2643 活動(dòng)存在多種聯(lián)系。但是，研究人員無法將該攻擊歸因于任何已知的攻擊者。在研究人員的第一份報(bào)告之后，他們又發(fā)現(xiàn)了許多其他變體，它們擴(kuò)展了研究人員對(duì)攻擊者和活動(dòng)本身的了解。研究人員發(fā)現(xiàn)了針對(duì)大量目標(biāo)的新惡意軟件樣本，受害者位于歐洲、中亞和東南亞。研究人員還觀察到其他各種供應(yīng)商公開報(bào)告的一系列活動(dòng)，研究人員能夠非常自信地將這些活動(dòng)與ExCone關(guān)聯(lián)。最后，研究人員發(fā)現(xiàn)了一個(gè)新的惡意軟件樣本，它允許研究人員以將 ExCone 與 SixLittleMonkeys APT 組織聯(lián)系起來。具體來說，研究人員發(fā)現(xiàn)了一個(gè)被 FourteenHI 和另一個(gè)未知后門攻擊的受害者。這個(gè)新的“未知后門”與 FourteenHI 和 Microcin 有相似之處，Microcin 是一種專屬于 SixLittleMonkeys 的木馬。

　　本季度，研究人員還對(duì)南亞眾所周知的攻擊活動(dòng)進(jìn)行了調(diào)查。研究人員在 2019 年至 2021 年 6 月底期間發(fā)現(xiàn)了另一組針對(duì)印度航空航天和國(guó)防研究機(jī)構(gòu)的 TTP，其中包含兩個(gè)以前未知的后門：LGuarian 和 HTTP_NEWS。前者似乎是 Quarian 后門的新變種，攻擊者也使用了它。通過跟蹤分析，研究人員獲得了有關(guān)攻擊者的后利用過程的大量信息，并能夠提供他們?cè)诖穗A段使用的各種工具的詳細(xì)信息，以及在受害者設(shè)備上執(zhí)行的操作。這使研究人員能夠收集大量惡意軟件樣本，并發(fā)現(xiàn)攻擊者基礎(chǔ)設(shè)施。

　　6 月 3 日，Check Point 發(fā)布了一份關(guān)于針對(duì)東南亞政府被監(jiān)控的報(bào)告，并將惡意活動(dòng)歸咎于一個(gè)名為 SharpPanda 的攻擊者。

　　4 月，研究人員調(diào)查了許多模仿 Microsoft 更新安裝程序文件的惡意安裝程序文件，這些文件使用從一家名為 QuickTech.com 的公司竊取的數(shù)字證書進(jìn)行簽名。這些虛假安裝程序展示了非常令人信服的視覺效果，這反映了攻擊者為使它們看起來合法而付出了大量努力。其最終的有效載荷是 Cobalt Strike 信標(biāo)模塊，也配置了“microsoft.com”子域 C2 服務(wù)器。C2 域 code.microsoft[.]com 是一個(gè)閑置的 DNS 子域，攻擊者在 4 月 15 日左右注冊(cè)，偽裝成 Visual Studio Code 官方網(wǎng)站。受害者通過虛假的 Microsoft 更新目錄網(wǎng)頁(yè)被誘騙在他們的設(shè)備上下載和執(zhí)行這些安裝程序，該網(wǎng)頁(yè)也托管在“microsoft.com”的另一個(gè)閑置的子域上。在調(diào)查惡意安裝程序文件時(shí)，研究人員遇到了其他惡意二進(jìn)制文件，根據(jù)收集的線索，研究人員假設(shè)它們是由同一攻擊者開發(fā)和使用的，至少?gòu)?1 月到 6 月一直活躍。研究人員在本文中對(duì)這個(gè)攻擊者使用的擴(kuò)展工具集進(jìn)行了分析，并將其命名為 CraneLand。

　　7 月，研究人員在兩個(gè)公開批評(píng)中國(guó)且看似合法的網(wǎng)站上發(fā)現(xiàn)了可疑的 JavaScript （JS） 內(nèi)容。混淆后的 JS 從遠(yuǎn)程域名加載，該域名冒充 Google 品牌并啟動(dòng)惡意 JS 載荷鏈。受感染的網(wǎng)站仍然包含 JS，但研究人員無法將任何其他惡意活動(dòng)或基礎(chǔ)設(shè)施與這種水坑攻擊聯(lián)系起來。惡意 JS 似乎不符合傳統(tǒng)的網(wǎng)絡(luò)犯罪目標(biāo)，與研究人員在其他水坑攻擊中觀察到的活動(dòng)相比，其活動(dòng)非常不尋常。研究人員認(rèn)為惡意 JS 載荷旨在分析和針對(duì)來自香港、臺(tái)灣或中國(guó)大陸的個(gè)人。應(yīng)仔細(xì)檢查與所述惡意域的任何連接，以查找后續(xù)的惡意活動(dòng)。