中東地區(qū)的APT攻擊情況

　　Lyceum 是一個(gè)攻擊組織，至少自 2018 年以來一直在針對(duì)中東的知名目標(biāo)發(fā)起攻擊。今年，研究人員發(fā)現(xiàn)了該組織針對(duì)突尼斯航空和電信部門的攻擊活動(dòng)。他們發(fā)現(xiàn)，攻擊者在開發(fā)兩個(gè)新的基于 C++ 的惡意軟件植入時(shí)表現(xiàn)的更加有活力其攻擊速度快捷，研究人員將它們命名為 Kevin 和 James。兩者都依賴于該組織使用的舊惡意軟件的技術(shù)和通信協(xié)議，并開發(fā)了 DanBot。在研究人員對(duì)這一活動(dòng)的報(bào)告以及針對(duì)該組織新發(fā)現(xiàn)的植入程序的相應(yīng)保護(hù)部署之后，研究人員觀察到攻擊者反復(fù)嘗試部署他們之前的報(bào)告中未指定的新樣本。其中一些樣本表明，攻擊者還利用了兩個(gè)新的 C2 域，這可能是為了繞過安全機(jī)制，從而緩解與已知域的通信。這種體現(xiàn)了該組織堅(jiān)持攻擊目標(biāo)組織，并表明它在被發(fā)現(xiàn)后并沒有停止運(yùn)作的事實(shí)，這一事實(shí)可以通過該組織最近公開曝光的另一組活動(dòng)得到認(rèn)證。你可以在“Lyceum group reborn”文章中詳細(xì)了解研究人員的發(fā)現(xiàn)。

　　東南亞及朝鮮半島的APT攻擊情況

　　6 月，研究人員觀察到 Lazarus 組織使用 MATA 惡意軟件框架攻擊國(guó)防企業(yè)。從歷史上看，Lazarus 使用 MATA 攻擊各個(gè)行業(yè)，以實(shí)現(xiàn)類似網(wǎng)絡(luò)犯罪的意圖：竊取客戶數(shù)據(jù)庫(kù)和傳播勒索軟件。然而，在該案例中，研究人員看到 Lazarus 使用 MATA 進(jìn)行網(wǎng)絡(luò)間諜活動(dòng)。攻擊者提供了一個(gè)已知被他們選擇的受害者使用的應(yīng)用程序的木馬化版本，代表了 Lazarus 的已知特征。執(zhí)行此應(yīng)用程序會(huì)啟動(dòng)一個(gè)從下載程序開始的多階段感染鏈。該下載程序從受感染的 C2 服務(wù)器中獲取額外的惡意軟件。研究人員能夠獲得多個(gè) MATA 組件，包括插件。與之前的版本相比，此次活動(dòng)中發(fā)現(xiàn)的 MATA 惡意軟件已經(jīng)迭代了多次，并使用盜竊的合法證書對(duì)其某些組件進(jìn)行簽名。通過這項(xiàng)研究，研究人員發(fā)現(xiàn) MATA 和 Lazarus 組織之間的聯(lián)系更緊密，包括獲取MATA惡意軟件的下載程序顯示了與TangoDaiwbo的聯(lián)系，而研究人員之前認(rèn)為TangoDaiwbo是Lazarus組織開發(fā)的。

　　研究人員還發(fā)現(xiàn)了使用更新的 DeathNote 集群的 Lazarus 團(tuán)體活動(dòng)。第一次涉及 6 月份對(duì)一家韓國(guó)智庫(kù)的攻擊。第二次是 5 月份對(duì) IT 資產(chǎn)監(jiān)控解決方案供應(yīng)商的攻擊。研究人員的調(diào)查揭示了指向 Lazarus 建立供應(yīng)鏈攻擊能力的跡象。在一個(gè)案例中，研究人員發(fā)現(xiàn)感染鏈源于合法的韓國(guó)安全軟件執(zhí)行惡意載荷；在第二個(gè)案例中，攻擊目標(biāo)是一家在拉脫維亞開發(fā)資產(chǎn)監(jiān)控解決方案的公司，該公司是 Lazarus 的非典型受害者。DeathNote 惡意軟件集群包含一個(gè)稍微更新的 BLINDINGCAN 變體，這是美國(guó) CISA（網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局）先前報(bào)告的惡意軟件。BLINDINGCAN 還被用于提供 COPPERHEDGE 的新變體，CISA 文章中也有報(bào)道。研究人員之前曾在 2020 年 1 月報(bào)告了對(duì) COPPERHEDGE 的初步發(fā)現(xiàn)。作為感染鏈的一部分，Lazarus 使用了一個(gè)名為 Racket 的下載程序，他們使用竊取的證書簽名。由于使用本地 CERT 接管了攻擊者的基礎(chǔ)設(shè)施，研究人員有機(jī)會(huì)研究與 DeathNote 集群相關(guān)的幾個(gè) C2 腳本。該攻擊者破壞了易受攻擊的 Web 服務(wù)器并上傳了幾個(gè)腳本來過濾和控制成功入侵的受害者設(shè)備上的惡意植入。

　　Kimsuky 組織是目前最活躍的 APT 組織之一，攻擊者以專注于網(wǎng)絡(luò)間諜活動(dòng)而聞名，但偶爾會(huì)為了經(jīng)濟(jì)利益而進(jìn)行網(wǎng)絡(luò)攻擊。與其他 APT 組織一樣，Kimsuky 包含幾個(gè)集群：BabyShark、AppleSeed、FlowerPower 和 GoldDragon。

　　每個(gè)集群使用不同的方法并具有不同的特征：

　　?BabyShark 在 C2 操作中嚴(yán)重依賴腳本化惡意軟件和受感染的 Web 服務(wù)器；

　　?AppleSeed 使用名為 AppleSeed 的獨(dú)特后門；

　　?FlowerPower 使用 PowerShell 腳本和惡意的 Microsoft Office 文檔；

　　?GoldDragon 是最古老的集群，最接近原始的 Kimsuky 惡意軟件。

　　然而，這些集群也顯示出一些重疊。特別是，GoldDragon 和 FlowerPower 在其 C2 基礎(chǔ)設(shè)施中共享強(qiáng)大的連接。但是，其他集群也與 C2 基礎(chǔ)設(shè)施有少量連接，這說明BabyShark 和 AppleSeed 的運(yùn)營(yíng)策略不同。

　　早在 5 月，研究人員就發(fā)表了一份關(guān)于新發(fā)現(xiàn)的Andariel活動(dòng)的報(bào)告。在此活動(dòng)中，位于韓國(guó)的眾多企業(yè)都成為自定義勒索軟件的目標(biāo)。在研究人員的研究中，研究人員發(fā)現(xiàn)攻擊者使用兩個(gè)向量來破壞目標(biāo)。第一個(gè)是使用帶有惡意宏的武器化 Microsoft Office 文檔。在研究人員最初報(bào)告時(shí)，第二個(gè)向量仍然未知，但研究人員發(fā)現(xiàn)了包含工具 ezPDF Reader 路徑的工件，該工具由一家名為 Unidocs 的韓國(guó)軟件公司開發(fā)。由于研究人員缺少明確的證據(jù)表明攻擊利用了該軟件中的漏洞，為了解決這個(gè)問題，研究人員決定審核該應(yīng)用程序的二進(jìn)制文件。研究人員對(duì)該軟件的分析使研究人員發(fā)現(xiàn)了 ezpdfwslauncher.exe 中的一個(gè)遠(yuǎn)程代碼執(zhí)行漏洞，可以利用該漏洞在沒有任何用戶交互的情況下，利用ezpdfwslauncher.exe入侵網(wǎng)絡(luò)上的計(jì)算機(jī)。研究人員非常自信地評(píng)估 Andariel 組織在其攻擊中使用了相同的漏洞。在此發(fā)現(xiàn)后，研究人員聯(lián)系了 Unidocs 的開發(fā)人員，并與他們分享了此漏洞的詳細(xì)信息。目前，該漏洞已經(jīng)被命名為 CVE-2021-26605，并進(jìn)行了修復(fù)。

　　本季度，研究人員描述了與 Origami Elephant 攻擊者（又名 DoNot 團(tuán)隊(duì)，APT-C-35，SECTOR02）相關(guān)的活動(dòng)，這些活動(dòng)從 2020 年初一直持續(xù)到今年。雖然Origami Elephant 繼續(xù)利用已知的 Backconfig（又名 Agent K1）和 Simple Uploader 組件，但研究人員也發(fā)現(xiàn)了名為 VTYREI（又名 BREEZESUGAR）的鮮為人知的惡意軟件用作第一階段的有效載荷。此外，研究人員觀察到了一種獨(dú)特的技術(shù)，可以對(duì)惡意文檔中使用的遠(yuǎn)程模板進(jìn)行編碼，目前他們還沒有看到其他攻擊者使用過這種技術(shù)。攻擊者繼續(xù)關(guān)注南亞地區(qū)，對(duì)主要位于巴基斯坦、孟加拉國(guó)、尼泊爾和斯里蘭卡的政府和軍事對(duì)象。

　　研究人員還跟蹤了從 2020 年底到報(bào)告發(fā)布期間針對(duì) Android 手機(jī)的 Origami Elephant 活動(dòng)。研究人員發(fā)現(xiàn)基礎(chǔ)設(shè)施仍然處于活躍狀態(tài)，與之前報(bào)告的相同惡意軟件進(jìn)行通信，盡管在代碼混淆方面有一些變化。目標(biāo)與去年相同，受害者位于南亞地區(qū)：尤其是印度、巴基斯坦和斯里蘭卡。與去年的攻擊活動(dòng)相比，攻擊者修改了感染鏈。研究人員觀察到 Android木馬是直接傳播的，而不是提供下載程序 stager。這是通過指向惡意登錄頁(yè)面的鏈接或通過某些即時(shí)消息平臺(tái)（例如 WhatsApp）直接發(fā)送消息來完成的。研究人員分析的樣本模仿了各種應(yīng)用程序，例如私人消息傳遞、VPN 和媒體服務(wù)。研究人員的報(bào)告涵蓋了 Origami Elephant 針對(duì) Android 設(shè)備的活動(dòng)的當(dāng)前狀態(tài)，并提供了與最新和歷史活動(dòng)相關(guān)的額外 IoC。使用研究人員之前研究中的可用線索掃描互聯(lián)網(wǎng)，研究人員能夠發(fā)現(xiàn)新部署的主機(jī)，在某些情況下甚至在它們變得活躍之前。

　　其他有趣的發(fā)現(xiàn)

　　9 月，研究人員提供了 FinSpy PC 植入程序的概述。這不僅包括Windows版本，也包括Linux和macOS版本，它們共享相同的內(nèi)部結(jié)構(gòu)和功能。FinSpy是一種臭名昭著的監(jiān)視工具，一些非政府組織多次報(bào)告說它被用來對(duì)付記者、政治異議人士和人權(quán)活動(dòng)家。歷史上，它的 Windows 植入是由單階段間諜軟件安裝程序表示的。直到 2018 年，此版本已被多次檢測(cè)和研究。從那時(shí)起，研究人員觀察到 FinSpy for Windows 的檢測(cè)率下降。雖然這種異常的性質(zhì)仍然未知，但研究人員開始檢測(cè)一些帶有 Metasploit stagers 后門的可疑安裝程序包。直到 2019 年年中，當(dāng)研究人員在適用于 Android 的 FinSpy Mobile 植入程序中找到為這些安裝程序提供服務(wù)的主機(jī)時(shí)，研究人員才能夠確定這些軟件包的屬性。在研究人員的調(diào)查過程中，他們發(fā)現(xiàn)后門安裝程序只不過是第一階段的植入程序，用于在實(shí)際的 FinSpy 特洛伊木馬之前下載和部署更多有效載荷。除了木馬安裝程序之外，研究人員還觀察到涉及使用 UEFI 或 MBR bootkit的感染。雖然 MBR 感染至少在 2014 年就已為人所知，但 UEFI bootkit 的詳細(xì)信息僅在研究人員的文章中首次被公開披露。在此分享一些關(guān)于 FinSpy 植入程序?qū)嶋H狀態(tài)的未知發(fā)現(xiàn)。

　　在第三季度末，研究人員發(fā)現(xiàn)了一個(gè)以前未知的具有高級(jí)功能的有效載荷，它使用兩個(gè)感染鏈向中東的各種政府組織和電信公司傳播。有效載荷使用 Windows 內(nèi)核模式 rootkit 來促進(jìn)其某些活動(dòng)，并且能夠通過 MBR 或 UEFI bootkit進(jìn)行持久部署。有趣的是，在這次攻擊中觀察到的一些組件以前曾多次由Slingshot代理在內(nèi)存中部署，其中 Slingshot 是研究人員過去在幾個(gè)案例中介紹過的后開發(fā)框架（不要與“Slingshot”APT混淆）。它是一個(gè)專有的商業(yè)滲透測(cè)試工具。然而，這并不是攻擊者第一次利用它。研究人員之前在 2019 年發(fā)布的一份關(guān)于 FruityArmor 活動(dòng)的報(bào)告顯示，攻擊組織利用它來針對(duì)中東多個(gè)行業(yè)的組織，可能是利用 Skype 中的漏洞作為感染媒介。在最近的一份報(bào)告中，研究人員對(duì)新發(fā)現(xiàn)的惡意工具包進(jìn)行了深入分析，該工具包是研究人員與 Slingshot 一起觀察到的，以及它如何在野外活動(dòng)集群中被利用，研究人員還特別介紹了一些高級(jí)功能。

　　總結(jié)

　　雖然一些攻擊者的 TTP 會(huì)在短時(shí)間內(nèi)保持一致，嚴(yán)重依賴社會(huì)工程作為在目標(biāo)組織中立足或破壞個(gè)人設(shè)備的一種手段，但其他人則更新了他們的工具集并擴(kuò)展了他們的活動(dòng)范圍。

　　以下是研究人員在 2021 年第三季度看到的主要趨勢(shì)：

　　1.供應(yīng)鏈攻擊繼續(xù)存在，包括 SmudgeX、DarkHalo 和 Lazarus 的攻擊。

　　2.在本季度，研究人員專注于研究和防護(hù)他們檢測(cè)到的惡意活動(dòng)后的監(jiān)視框架。其中包括 FinSpy 以及使用稱為 Slingshot 的商業(yè)后開發(fā)框架上演的高級(jí)且功能強(qiáng)大的有效載荷。這些工具包含強(qiáng)大的隱蔽功能，例如使用bootkit進(jìn)行持久化。Bootkit 仍然是一些備受矚目的 APT 攻擊的活躍組件，盡管微軟已經(jīng)添加了各種緩解措施，使它們?cè)?Windows 操作系統(tǒng)上部署起來更加容易。

　　3.社會(huì)工程學(xué)仍然是發(fā)起攻擊的關(guān)鍵方法，；還有漏洞利用（CloudComputating、Origami Elephant、Andariel），包括利用固件漏洞。

　　4.正如各種攻擊者（包括 Gamaredon、CloudComputating、ExCone、Origami Elephant、ReconHellcat、SharpPanda）的活動(dòng)所表明的那樣，地緣政治繼續(xù)推動(dòng) APT 的發(fā)展。