近年來(lái)，卡巴斯基全球研究與分析團(tuán)隊(duì)（GReAT） 一直定期發(fā)布高級(jí)持續(xù)威脅 （APT） 趨勢(shì)報(bào)告。限于篇幅，我們優(yōu)先編譯了2021年第三季度報(bào)告的部分重要內(nèi)容以饗讀者。欲了解該報(bào)告全文，請(qǐng)按照文末提示方式獲取。摘編原文如下：

　　最顯著的發(fā)現(xiàn)

　　2020年12月被廣為報(bào)道的SolarWinds事件之所以備受關(guān)注，是因?yàn)楣粽邩O其謹(jǐn)慎，而且受害者的身份引人矚目。有證據(jù)表明，發(fā)動(dòng)攻擊的威脅組織DarkHalo（又名 Nobelium）已經(jīng)在OrionIT的網(wǎng)絡(luò)中潛伏了6個(gè)月時(shí)間來(lái)完善他們的攻擊。今年6月，在DarkHalo停止活動(dòng)6個(gè)多月后，卡巴斯基觀察到一個(gè)獨(dú)聯(lián)體成員國(guó)的多個(gè)政府區(qū)域遭到DNS劫持，這使得攻擊者能夠?qū)⒘髁繌恼]件服務(wù)器重定向到他們控制的計(jì)算機(jī)---很可能是通過(guò)獲得受害者登記員控制面板的憑證來(lái)實(shí)現(xiàn)的。當(dāng)受害者試圖訪問(wèn)他們的公司郵件時(shí)，會(huì)被重定向到一個(gè)偽造的網(wǎng)絡(luò)界面副本。之后，受害者被誘騙下載了以前未知的惡意軟件。這個(gè)后門被稱為Tomiris，與DarkHalo去年使用的第二階段惡意軟件SunShuft（又名GoldMax）有許多相似之處。不過(guò)，Tomiris和Kazuar后門程序之間也存在許多相似之處，這是一個(gè)與Turla APT威脅組織相關(guān)聯(lián)的后門。上述這些相似之處并不足以說(shuō)明Tomiris和Sunshuttle后門程序之間有高度關(guān)聯(lián)性，但是綜合來(lái)看，這兩個(gè)后門程序或許有共同的開(kāi)發(fā)者，或者共享開(kāi)發(fā)代碼。

　　俄語(yǔ)地區(qū)APT攻擊趨勢(shì)分析

　　本季度，研究人員發(fā)現(xiàn)了幾個(gè)典型的Gamaredon 惡意感染文件、dropper和植入程序，這表明針對(duì)烏克蘭政府的惡意活動(dòng)或許正在進(jìn)行，甚至可能從今年5月份開(kāi)始惡意活動(dòng)就很活躍。目前研究人員還無(wú)法準(zhǔn)確識(shí)別相關(guān)的感染鏈，因?yàn)樗麄冎荒軝z索到其中的一部分樣本，但這并不影響研究人員將其歸因于Gamaredon。本文詳細(xì)介紹了各種dropper以及解碼器腳本，以及對(duì)DStealer后門和研究人員觀察到的與該活動(dòng)相關(guān)的大型基礎(chǔ)設(shè)施的分析。

　　ReconHellcat是一個(gè)之前鮮為人知的攻擊者，于2020年被發(fā)現(xiàn)并公布。其活動(dòng)的第一個(gè)帳戶可以追溯到去年3月，MalwareHunterTeam發(fā)布的一條推文中介紹了包含與COVID相關(guān)的誘餌文件名的檔案，其中包含一個(gè)惡意的可執(zhí)行文件。這個(gè)檔案中的惡意植入程序名為BlackWater。BlackWater反過(guò)來(lái)會(huì)釋放并打開(kāi)一個(gè)誘餌文件，然后作為C2服務(wù)器聯(lián)系Cloudflare Workers，這是其他攻擊者在使用時(shí)通常不會(huì)使用的方法。自從首次發(fā)現(xiàn)這種攻擊方式以來(lái)，類似的TTP已被用作QuoIntelligence涵蓋的其他攻擊的一部分，這表明潛在攻擊者正在以有針對(duì)性的方式運(yùn)作，同時(shí)追蹤與政府相關(guān)的知名目標(biāo)。這種活動(dòng)似乎一直持續(xù)到2021年，當(dāng)時(shí)研究人員發(fā)現(xiàn)了一系列使用相同技術(shù)和惡意軟件的攻擊，其目的是在位于中亞的外交組織中潛伏下來(lái)。在撰寫的私人報(bào)告中，研究人員介紹了這項(xiàng)活動(dòng)，重點(diǎn)關(guān)注攻擊者對(duì)感染鏈中的要素所做的各種變化，這可能是由于之前公開(kāi)曝光其活動(dòng)造成的。

　　從那時(shí)起，研究人員發(fā)現(xiàn)了由ReconHellcat操作的其他文件。今年8月到9月間出現(xiàn)了一個(gè)新的活動(dòng)，其感染鏈不斷發(fā)展。Zscaler的研究人員也在一篇文章中介紹了這項(xiàng)活動(dòng)。更新后的攻擊活動(dòng)中引入的一些變化包括依賴 Microsoft Word模板（。dotm）來(lái)實(shí)現(xiàn)持久性，而不是以前使用的Microsoft Word加載項(xiàng)（。wll）。盡管如此，一些TTP保持不變，因?yàn)樾碌母腥炬溔匀惶峁┫嗤淖罱K植入程序---Blacksoul惡意軟件，并且仍然使用Cloudflare Workers作為C2服務(wù)器。ReconHellcat的目標(biāo)是塔吉克斯坦、吉爾吉斯斯坦、巴基斯坦和土庫(kù)曼斯坦等中亞國(guó)家相關(guān)的政府組織和外交實(shí)體。此外，卡巴斯基的研究人員還確定了在前一波攻擊中沒(méi)有出現(xiàn)的兩個(gè)國(guó)家：阿富汗和烏茲別克斯坦。因此卡巴斯基判斷ReconHellcat可能是是使用俄語(yǔ)的威脅組織。

　　東南亞及朝鮮半島地區(qū)APT攻擊趨勢(shì)分析

　　今年6月，卡巴斯基觀察到Lazarus威脅組織使用MATA惡意軟件框架攻擊國(guó)防工業(yè)。過(guò)去，Lazarus曾經(jīng)使用MATA攻擊各個(gè)行業(yè)以實(shí)現(xiàn)類似網(wǎng)絡(luò)犯罪的意圖：竊取客戶數(shù)據(jù)庫(kù)和傳播勒索軟件。然而，在此次事件中，卡巴斯基發(fā)現(xiàn)Lazarus使用MATA進(jìn)行網(wǎng)絡(luò)間諜活動(dòng)。攻擊者提供了一個(gè)已知被他們選中的受害者使用的應(yīng)用程序的木馬化版本，這代表了Lazarus組織的已知特征。執(zhí)行此應(yīng)用程序會(huì)啟動(dòng)一個(gè)從下載程序開(kāi)始的多階段感染鏈。該下載器從受感染的C2服務(wù)器中獲取額外的惡意軟件?？ò退够@取了多個(gè)MATA組件以及插件。在此活動(dòng)中發(fā)現(xiàn)的MATA惡意軟件與以前的版本相比有所進(jìn)化，并使用合法的被盜證書以簽署其某些組件。通過(guò)這項(xiàng)研究，卡巴斯基發(fā)現(xiàn)了MATA和Lazarus集團(tuán)之間更緊密的聯(lián)系。

　　卡巴斯基還發(fā)現(xiàn)了使用更新后的DeathNote集群的Lazarus組織活動(dòng)。這些活動(dòng)涉及今年6月份對(duì)韓國(guó)智庫(kù)的襲擊，以及5月份對(duì)IT資產(chǎn)監(jiān)控解決方案供應(yīng)商的攻擊?？ò退够恼{(diào)查顯示，有跡象表明Lazarus正在建立供應(yīng)鏈攻擊能力。在第一個(gè)案例中，卡巴斯基發(fā)現(xiàn)感染鏈源于合法的韓國(guó)安全軟件執(zhí)行惡意載荷；在第二個(gè)案例中，攻擊目標(biāo)是一家在拉脫維亞開(kāi)發(fā)資產(chǎn)監(jiān)控解決方案的公司，該公司是Lazarus的非典型受害者。DeathNote惡意軟件集群包含一個(gè)部分更新的BLINDINGCAN變種，這是美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）先前報(bào)告過(guò)的惡意軟件。BLINDINGCAN還被用于分發(fā)COPPERHEDGE的新變種，這在CISA的一篇文章中也有提及?？ò退够霸?020年1月公布了其對(duì)COPPERHEDGE的初步發(fā)現(xiàn)。作為感染鏈的一部分，Lazarus使用了一個(gè)名為Racket的下載器，并使用竊取來(lái)的證書進(jìn)行簽名。由于使用本地CERT接管攻擊者的基礎(chǔ)設(shè)施，卡巴斯基有機(jī)會(huì)研究與DeathNote集群相關(guān)的幾個(gè)C2腳本。該攻擊者破壞了易受攻擊的Web服務(wù)器并上傳了幾個(gè)腳本，用于過(guò)濾和控制被入侵的受害者機(jī)器上的惡意植入程序。

　　Kimsuky集團(tuán)是目前最活躍的APT組織之一。該威脅組織以專注于網(wǎng)絡(luò)間諜活動(dòng)而聞名，但偶爾也會(huì)進(jìn)行網(wǎng)絡(luò)攻擊以獲取經(jīng)濟(jì)利益。與其他APT組織采取“報(bào)團(tuán)取暖”的方式一樣，Kimsuky也包含幾個(gè)集群：BabyShark、AppleSeed、FlowerPower和GoldDragon。

　　每個(gè)集群采取不同的攻擊手法并具有不同的特征：

　　BabyShark在C2操作中嚴(yán)重依賴腳本化惡意軟件和受感染的Web服務(wù)器；AppleSeed使用名為AppleSeed的獨(dú)特后門；FlowerPower使用PowerShell腳本和惡意的Microsoft Office文檔；GoldDragon是最古老的集群，最接近原始的Kimsuky惡意軟件。

　　但是，這些集群也顯示出一些重疊。特別是GoldDragon和FlowerPower在其C2基礎(chǔ)設(shè)施中共享緊密的連接。不過(guò)，其他集群也與C2基礎(chǔ)設(shè)施有部分連接?？ò退够u(píng)估認(rèn)為BabyShark和AppleSeed的操作策略不同。

　　早在今年5月，卡巴斯基就發(fā)表了一份關(guān)于新發(fā)現(xiàn)的Andariel活動(dòng)的報(bào)告。在該活動(dòng)中，位于韓國(guó)的眾多行業(yè)都成為定制勒索軟件的目標(biāo)?？ò退够芯堪l(fā)現(xiàn)攻擊者使用兩個(gè)載體來(lái)破壞目標(biāo)。第一個(gè)是使用帶有惡意宏的武器化Microsoft Office文檔。在卡巴斯基最初發(fā)布研究報(bào)告時(shí)，第二個(gè)載體仍然未知，但卡巴斯基發(fā)現(xiàn)了包含工具ezPDF Reader路徑的工件，該工具由一家名為Unidocs的韓國(guó)軟件公司開(kāi)發(fā)?？ò退够鄙倜鞔_的證據(jù)表明攻擊利用了該軟件中的漏洞，為了解決這個(gè)謎團(tuán)，卡巴斯基決定審核該應(yīng)用程序的二進(jìn)制文件。通過(guò)對(duì)該軟件進(jìn)行分析，卡巴斯基發(fā)現(xiàn)了ezpdfwslauncher.exe中的一個(gè)遠(yuǎn)程代碼執(zhí)行漏洞，該漏洞可以利用ezPDF Reader入侵網(wǎng)絡(luò)上的計(jì)算機(jī)，而無(wú)需任何用戶交互?？ò退够浅Ｗ孕诺卣J(rèn)為Andariel組織在其攻擊中使用了相同的漏洞。在此發(fā)現(xiàn)后，卡巴斯基聯(lián)系了Unidocs的開(kāi)發(fā)人員，并與他們分享了此漏洞的詳細(xì)信息。該漏洞被編號(hào)為CVE-2021-26605。

　　本季度，卡巴斯基介紹了與Origami Elephant威脅組織（又名DoNot組織，APT-C-35，SECTOR02）相關(guān)的活動(dòng)，這些活動(dòng)從2020年初一直持續(xù)到今年。Origami Elephant繼續(xù)利用已知的Backconfig（又名Agent K1）和Simple Uploader組件，但卡巴斯基也發(fā)現(xiàn)了名為VTYREI（又名 BREEZESUGAR）的鮮為人知的惡意軟件用作第一階段的有效負(fù)載。此外，卡巴斯基還發(fā)現(xiàn)了一種獨(dú)特的技術(shù)，利用這種技術(shù)可以對(duì)惡意文檔中使用的遠(yuǎn)程模板進(jìn)行編碼，在此之前卡巴斯基還沒(méi)有看到其他威脅組織使用過(guò)這種技術(shù)。該組織的目標(biāo)與過(guò)去一致：繼續(xù)關(guān)注南亞地區(qū)，對(duì)主要位于巴基斯坦、孟加拉國(guó)、尼泊爾和斯里蘭卡的政府和軍事實(shí)體特別感興趣。

　　卡巴斯基還跟蹤了從2020年底至本報(bào)告發(fā)布時(shí)針對(duì)Android手機(jī)的Origami Elephan活動(dòng)。之前卡巴斯基也對(duì)該活動(dòng)進(jìn)行了報(bào)告?？ò退够⒁獾剑A(chǔ)設(shè)施仍然處于活動(dòng)狀態(tài)，與卡巴斯基之前報(bào)告的相同惡意軟件進(jìn)行通信，僅在代碼混淆方面有一些變化。攻擊目標(biāo)與去年相同，受害者位于南亞地區(qū)，主要是印度、巴基斯坦和斯里蘭卡。與去年的攻擊活動(dòng)相比，該攻擊者修改了感染鏈。卡巴斯基發(fā)現(xiàn)Android特洛伊木馬是直接分發(fā)的，而不是通過(guò)下載程序stager。這是通過(guò)指向惡意登錄頁(yè)面的鏈接或通過(guò)某些即時(shí)消息平臺(tái)（如WhatsApp）直接發(fā)送消息來(lái)完成的?？ò退够治龅臉颖灸M了各種應(yīng)用程序，例如私密消息、VPN以及媒體服務(wù)?？ò退够膱?bào)告涵蓋了Origami Elephant針對(duì)Android設(shè)備活動(dòng)的現(xiàn)狀，并提供了與最新和過(guò)去的活動(dòng)相關(guān)的額外IoC。利用卡巴斯基之前的研究提供的線索掃描互聯(lián)網(wǎng)，能夠發(fā)現(xiàn)新部署的主機(jī)，在某些情況下，甚至在它們處于活躍狀態(tài)之前就能發(fā)現(xiàn)。

　　寫在文末

　　雖然一些威脅組織的TTP隨著時(shí)間的推移仍然保持一致，嚴(yán)重依賴社會(huì)工程學(xué)作為其在目標(biāo)組織中潛伏下來(lái)或破壞個(gè)人設(shè)備的一種手段，但也有其他組織更新了他們的工具集并擴(kuò)展了他們的活動(dòng)范圍?？ò退够亩ㄆ诩径葘彶橹荚谕怀鯝PT組織的關(guān)鍵性發(fā)展變化。

　　以下是卡巴斯基在2021年第三季度發(fā)現(xiàn)的主要趨勢(shì)：

　?。ㄒ唬├^續(xù)發(fā)現(xiàn)供應(yīng)鏈攻擊，包括SmudgeX、DarkHalo和Lazarus的攻擊。

　?。ǘ┰诒炯径龋ò退够鶎Ｗ⒂谘芯亢筒鸪錂z測(cè)到的惡意活動(dòng)后的監(jiān)視框架。其中包括FinSpy和使用商業(yè)post-exploitation框架Slingshot暫存的高級(jí)且功能強(qiáng)大的有效載荷。這些工具包含強(qiáng)大的隱蔽功能，例如使用Bootkits進(jìn)行持久化。Bootkits仍然是一些備受矚目的APT攻擊的活躍組件，盡管微軟已經(jīng)添加了各種緩解措施，使它們?cè)赪indows操作系統(tǒng)上的部署變得不那么容易。

　?。ㄈ┛ò退够^察到，本季度來(lái)自使用中文的威脅組織的活動(dòng)異常激增，尤其是與年初相比。相比之下，卡巴斯基注意到，本季度中東的活動(dòng)有所減少。

　　（四）社會(huì)工程學(xué)仍然是發(fā)起攻擊的關(guān)鍵方法；但也有漏洞利用（CloudComputating、Origami Elephant、Andariel），包括利用固件漏洞。

　?。ㄎ澹└鞣N威脅組織（例如Gamaredon、CloudComputating、ExCone、Origami Elephant、ReconHellcat、SharpPanda）的活動(dòng)表明，地緣政治繼續(xù)推動(dòng)APT的發(fā)展。