中東地區(qū)的APT攻擊情況
Lyceum 是一個攻擊組織,至少自 2018 年以來一直在針對中東的知名目標(biāo)發(fā)起攻擊。今年,研究人員發(fā)現(xiàn)了該組織針對突尼斯航空和電信部門的攻擊活動。他們發(fā)現(xiàn),攻擊者在開發(fā)兩個新的基于 C++ 的惡意軟件植入時表現(xiàn)的更加有活力其攻擊速度快捷,研究人員將它們命名為 Kevin 和 James。兩者都依賴于該組織使用的舊惡意軟件的技術(shù)和通信協(xié)議,并開發(fā)了 DanBot。在研究人員對這一活動的報告以及針對該組織新發(fā)現(xiàn)的植入程序的相應(yīng)保護部署之后,研究人員觀察到攻擊者反復(fù)嘗試部署他們之前的報告中未指定的新樣本。其中一些樣本表明,攻擊者還利用了兩個新的 C2 域,這可能是為了繞過安全機制,從而緩解與已知域的通信。這種體現(xiàn)了該組織堅持攻擊目標(biāo)組織,并表明它在被發(fā)現(xiàn)后并沒有停止運作的事實,這一事實可以通過該組織最近公開曝光的另一組活動得到認(rèn)證。你可以在“Lyceum group reborn”文章中詳細(xì)了解研究人員的發(fā)現(xiàn)。
東南亞及朝鮮半島的APT攻擊情況
6 月,研究人員觀察到 Lazarus 組織使用 MATA 惡意軟件框架攻擊國防企業(yè)。從歷史上看,Lazarus 使用 MATA 攻擊各個行業(yè),以實現(xiàn)類似網(wǎng)絡(luò)犯罪的意圖:竊取客戶數(shù)據(jù)庫和傳播勒索軟件。然而,在該案例中,研究人員看到 Lazarus 使用 MATA 進行網(wǎng)絡(luò)間諜活動。攻擊者提供了一個已知被他們選擇的受害者使用的應(yīng)用程序的木馬化版本,代表了 Lazarus 的已知特征。執(zhí)行此應(yīng)用程序會啟動一個從下載程序開始的多階段感染鏈。該下載程序從受感染的 C2 服務(wù)器中獲取額外的惡意軟件。研究人員能夠獲得多個 MATA 組件,包括插件。與之前的版本相比,此次活動中發(fā)現(xiàn)的 MATA 惡意軟件已經(jīng)迭代了多次,并使用盜竊的合法證書對其某些組件進行簽名。通過這項研究,研究人員發(fā)現(xiàn) MATA 和 Lazarus 組織之間的聯(lián)系更緊密,包括獲取MATA惡意軟件的下載程序顯示了與TangoDaiwbo的聯(lián)系,而研究人員之前認(rèn)為TangoDaiwbo是Lazarus組織開發(fā)的。
研究人員還發(fā)現(xiàn)了使用更新的 DeathNote 集群的 Lazarus 團體活動。第一次涉及 6 月份對一家韓國智庫的攻擊。第二次是 5 月份對 IT 資產(chǎn)監(jiān)控解決方案供應(yīng)商的攻擊。研究人員的調(diào)查揭示了指向 Lazarus 建立供應(yīng)鏈攻擊能力的跡象。在一個案例中,研究人員發(fā)現(xiàn)感染鏈源于合法的韓國安全軟件執(zhí)行惡意載荷;在第二個案例中,攻擊目標(biāo)是一家在拉脫維亞開發(fā)資產(chǎn)監(jiān)控解決方案的公司,該公司是 Lazarus 的非典型受害者。DeathNote 惡意軟件集群包含一個稍微更新的 BLINDINGCAN 變體,這是美國 CISA(網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局)先前報告的惡意軟件。BLINDINGCAN 還被用于提供 COPPERHEDGE 的新變體,CISA 文章中也有報道。研究人員之前曾在 2020 年 1 月報告了對 COPPERHEDGE 的初步發(fā)現(xiàn)。作為感染鏈的一部分,Lazarus 使用了一個名為 Racket 的下載程序,他們使用竊取的證書簽名。由于使用本地 CERT 接管了攻擊者的基礎(chǔ)設(shè)施,研究人員有機會研究與 DeathNote 集群相關(guān)的幾個 C2 腳本。該攻擊者破壞了易受攻擊的 Web 服務(wù)器并上傳了幾個腳本來過濾和控制成功入侵的受害者設(shè)備上的惡意植入。
Kimsuky 組織是目前最活躍的 APT 組織之一,攻擊者以專注于網(wǎng)絡(luò)間諜活動而聞名,但偶爾會為了經(jīng)濟利益而進行網(wǎng)絡(luò)攻擊。與其他 APT 組織一樣,Kimsuky 包含幾個集群:BabyShark、AppleSeed、FlowerPower 和 GoldDragon。
每個集群使用不同的方法并具有不同的特征:
?BabyShark 在 C2 操作中嚴(yán)重依賴腳本化惡意軟件和受感染的 Web 服務(wù)器;
?AppleSeed 使用名為 AppleSeed 的獨特后門;
?FlowerPower 使用 PowerShell 腳本和惡意的 Microsoft Office 文檔;
?GoldDragon 是最古老的集群,最接近原始的 Kimsuky 惡意軟件。
然而,這些集群也顯示出一些重疊。特別是,GoldDragon 和 FlowerPower 在其 C2 基礎(chǔ)設(shè)施中共享強大的連接。但是,其他集群也與 C2 基礎(chǔ)設(shè)施有少量連接,這說明BabyShark 和 AppleSeed 的運營策略不同。
早在 5 月,研究人員就發(fā)表了一份關(guān)于新發(fā)現(xiàn)的Andariel活動的報告。在此活動中,位于韓國的眾多企業(yè)都成為自定義勒索軟件的目標(biāo)。在研究人員的研究中,研究人員發(fā)現(xiàn)攻擊者使用兩個向量來破壞目標(biāo)。第一個是使用帶有惡意宏的武器化 Microsoft Office 文檔。在研究人員最初報告時,第二個向量仍然未知,但研究人員發(fā)現(xiàn)了包含工具 ezPDF Reader 路徑的工件,該工具由一家名為 Unidocs 的韓國軟件公司開發(fā)。由于研究人員缺少明確的證據(jù)表明攻擊利用了該軟件中的漏洞,為了解決這個問題,研究人員決定審核該應(yīng)用程序的二進制文件。研究人員對該軟件的分析使研究人員發(fā)現(xiàn)了 ezpdfwslauncher.exe 中的一個遠(yuǎn)程代碼執(zhí)行漏洞,可以利用該漏洞在沒有任何用戶交互的情況下,利用ezpdfwslauncher.exe入侵網(wǎng)絡(luò)上的計算機。研究人員非常自信地評估 Andariel 組織在其攻擊中使用了相同的漏洞。在此發(fā)現(xiàn)后,研究人員聯(lián)系了 Unidocs 的開發(fā)人員,并與他們分享了此漏洞的詳細(xì)信息。目前,該漏洞已經(jīng)被命名為 CVE-2021-26605,并進行了修復(fù)。
本季度,研究人員描述了與 Origami Elephant 攻擊者(又名 DoNot 團隊,APT-C-35,SECTOR02)相關(guān)的活動,這些活動從 2020 年初一直持續(xù)到今年。雖然Origami Elephant 繼續(xù)利用已知的 Backconfig(又名 Agent K1)和 Simple Uploader 組件,但研究人員也發(fā)現(xiàn)了名為 VTYREI(又名 BREEZESUGAR)的鮮為人知的惡意軟件用作第一階段的有效載荷。此外,研究人員觀察到了一種獨特的技術(shù),可以對惡意文檔中使用的遠(yuǎn)程模板進行編碼,目前他們還沒有看到其他攻擊者使用過這種技術(shù)。攻擊者繼續(xù)關(guān)注南亞地區(qū),對主要位于巴基斯坦、孟加拉國、尼泊爾和斯里蘭卡的政府和軍事對象。
研究人員還跟蹤了從 2020 年底到報告發(fā)布期間針對 Android 手機的 Origami Elephant 活動。研究人員發(fā)現(xiàn)基礎(chǔ)設(shè)施仍然處于活躍狀態(tài),與之前報告的相同惡意軟件進行通信,盡管在代碼混淆方面有一些變化。目標(biāo)與去年相同,受害者位于南亞地區(qū):尤其是印度、巴基斯坦和斯里蘭卡。與去年的攻擊活動相比,攻擊者修改了感染鏈。研究人員觀察到 Android木馬是直接傳播的,而不是提供下載程序 stager。這是通過指向惡意登錄頁面的鏈接或通過某些即時消息平臺(例如 WhatsApp)直接發(fā)送消息來完成的。研究人員分析的樣本模仿了各種應(yīng)用程序,例如私人消息傳遞、VPN 和媒體服務(wù)。研究人員的報告涵蓋了 Origami Elephant 針對 Android 設(shè)備的活動的當(dāng)前狀態(tài),并提供了與最新和歷史活動相關(guān)的額外 IoC。使用研究人員之前研究中的可用線索掃描互聯(lián)網(wǎng),研究人員能夠發(fā)現(xiàn)新部署的主機,在某些情況下甚至在它們變得活躍之前。
其他有趣的發(fā)現(xiàn)
9 月,研究人員提供了 FinSpy PC 植入程序的概述。這不僅包括Windows版本,也包括Linux和macOS版本,它們共享相同的內(nèi)部結(jié)構(gòu)和功能。FinSpy是一種臭名昭著的監(jiān)視工具,一些非政府組織多次報告說它被用來對付記者、政治異議人士和人權(quán)活動家。歷史上,它的 Windows 植入是由單階段間諜軟件安裝程序表示的。直到 2018 年,此版本已被多次檢測和研究。從那時起,研究人員觀察到 FinSpy for Windows 的檢測率下降。雖然這種異常的性質(zhì)仍然未知,但研究人員開始檢測一些帶有 Metasploit stagers 后門的可疑安裝程序包。直到 2019 年年中,當(dāng)研究人員在適用于 Android 的 FinSpy Mobile 植入程序中找到為這些安裝程序提供服務(wù)的主機時,研究人員才能夠確定這些軟件包的屬性。在研究人員的調(diào)查過程中,他們發(fā)現(xiàn)后門安裝程序只不過是第一階段的植入程序,用于在實際的 FinSpy 特洛伊木馬之前下載和部署更多有效載荷。除了木馬安裝程序之外,研究人員還觀察到涉及使用 UEFI 或 MBR bootkit的感染。雖然 MBR 感染至少在 2014 年就已為人所知,但 UEFI bootkit 的詳細(xì)信息僅在研究人員的文章中首次被公開披露。在此分享一些關(guān)于 FinSpy 植入程序?qū)嶋H狀態(tài)的未知發(fā)現(xiàn)。
在第三季度末,研究人員發(fā)現(xiàn)了一個以前未知的具有高級功能的有效載荷,它使用兩個感染鏈向中東的各種政府組織和電信公司傳播。有效載荷使用 Windows 內(nèi)核模式 rootkit 來促進其某些活動,并且能夠通過 MBR 或 UEFI bootkit進行持久部署。有趣的是,在這次攻擊中觀察到的一些組件以前曾多次由Slingshot代理在內(nèi)存中部署,其中 Slingshot 是研究人員過去在幾個案例中介紹過的后開發(fā)框架(不要與“Slingshot”APT混淆)。它是一個專有的商業(yè)滲透測試工具。然而,這并不是攻擊者第一次利用它。研究人員之前在 2019 年發(fā)布的一份關(guān)于 FruityArmor 活動的報告顯示,攻擊組織利用它來針對中東多個行業(yè)的組織,可能是利用 Skype 中的漏洞作為感染媒介。在最近的一份報告中,研究人員對新發(fā)現(xiàn)的惡意工具包進行了深入分析,該工具包是研究人員與 Slingshot 一起觀察到的,以及它如何在野外活動集群中被利用,研究人員還特別介紹了一些高級功能。
總結(jié)
雖然一些攻擊者的 TTP 會在短時間內(nèi)保持一致,嚴(yán)重依賴社會工程作為在目標(biāo)組織中立足或破壞個人設(shè)備的一種手段,但其他人則更新了他們的工具集并擴展了他們的活動范圍。
以下是研究人員在 2021 年第三季度看到的主要趨勢:
1.供應(yīng)鏈攻擊繼續(xù)存在,包括 SmudgeX、DarkHalo 和 Lazarus 的攻擊。
2.在本季度,研究人員專注于研究和防護他們檢測到的惡意活動后的監(jiān)視框架。其中包括 FinSpy 以及使用稱為 Slingshot 的商業(yè)后開發(fā)框架上演的高級且功能強大的有效載荷。這些工具包含強大的隱蔽功能,例如使用bootkit進行持久化。Bootkit 仍然是一些備受矚目的 APT 攻擊的活躍組件,盡管微軟已經(jīng)添加了各種緩解措施,使它們在 Windows 操作系統(tǒng)上部署起來更加容易。
3.社會工程學(xué)仍然是發(fā)起攻擊的關(guān)鍵方法,;還有漏洞利用(CloudComputating、Origami Elephant、Andariel),包括利用固件漏洞。
4.正如各種攻擊者(包括 Gamaredon、CloudComputating、ExCone、Origami Elephant、ReconHellcat、SharpPanda)的活動所表明的那樣,地緣政治繼續(xù)推動 APT 的發(fā)展。