近年來,卡巴斯基全球研究與分析團(tuán)隊(duì)(GReAT) 一直定期發(fā)布高級(jí)持續(xù)威脅 (APT) 趨勢(shì)報(bào)告。限于篇幅,我們優(yōu)先編譯了2021年第三季度報(bào)告的部分重要內(nèi)容以饗讀者。欲了解該報(bào)告全文,請(qǐng)按照文末提示方式獲取。摘編原文如下:
最顯著的發(fā)現(xiàn)
2020年12月被廣為報(bào)道的SolarWinds事件之所以備受關(guān)注,是因?yàn)楣粽邩O其謹(jǐn)慎,而且受害者的身份引人矚目。有證據(jù)表明,發(fā)動(dòng)攻擊的威脅組織DarkHalo(又名 Nobelium)已經(jīng)在OrionIT的網(wǎng)絡(luò)中潛伏了6個(gè)月時(shí)間來完善他們的攻擊。今年6月,在DarkHalo停止活動(dòng)6個(gè)多月后,卡巴斯基觀察到一個(gè)獨(dú)聯(lián)體成員國的多個(gè)政府區(qū)域遭到DNS劫持,這使得攻擊者能夠?qū)⒘髁繌恼]件服務(wù)器重定向到他們控制的計(jì)算機(jī)---很可能是通過獲得受害者登記員控制面板的憑證來實(shí)現(xiàn)的。當(dāng)受害者試圖訪問他們的公司郵件時(shí),會(huì)被重定向到一個(gè)偽造的網(wǎng)絡(luò)界面副本。之后,受害者被誘騙下載了以前未知的惡意軟件。這個(gè)后門被稱為Tomiris,與DarkHalo去年使用的第二階段惡意軟件SunShuft(又名GoldMax)有許多相似之處。不過,Tomiris和Kazuar后門程序之間也存在許多相似之處,這是一個(gè)與Turla APT威脅組織相關(guān)聯(lián)的后門。上述這些相似之處并不足以說明Tomiris和Sunshuttle后門程序之間有高度關(guān)聯(lián)性,但是綜合來看,這兩個(gè)后門程序或許有共同的開發(fā)者,或者共享開發(fā)代碼。
俄語地區(qū)APT攻擊趨勢(shì)分析
本季度,研究人員發(fā)現(xiàn)了幾個(gè)典型的Gamaredon 惡意感染文件、dropper和植入程序,這表明針對(duì)烏克蘭政府的惡意活動(dòng)或許正在進(jìn)行,甚至可能從今年5月份開始惡意活動(dòng)就很活躍。目前研究人員還無法準(zhǔn)確識(shí)別相關(guān)的感染鏈,因?yàn)樗麄冎荒軝z索到其中的一部分樣本,但這并不影響研究人員將其歸因于Gamaredon。本文詳細(xì)介紹了各種dropper以及解碼器腳本,以及對(duì)DStealer后門和研究人員觀察到的與該活動(dòng)相關(guān)的大型基礎(chǔ)設(shè)施的分析。
ReconHellcat是一個(gè)之前鮮為人知的攻擊者,于2020年被發(fā)現(xiàn)并公布。其活動(dòng)的第一個(gè)帳戶可以追溯到去年3月,MalwareHunterTeam發(fā)布的一條推文中介紹了包含與COVID相關(guān)的誘餌文件名的檔案,其中包含一個(gè)惡意的可執(zhí)行文件。這個(gè)檔案中的惡意植入程序名為BlackWater。BlackWater反過來會(huì)釋放并打開一個(gè)誘餌文件,然后作為C2服務(wù)器聯(lián)系Cloudflare Workers,這是其他攻擊者在使用時(shí)通常不會(huì)使用的方法。自從首次發(fā)現(xiàn)這種攻擊方式以來,類似的TTP已被用作QuoIntelligence涵蓋的其他攻擊的一部分,這表明潛在攻擊者正在以有針對(duì)性的方式運(yùn)作,同時(shí)追蹤與政府相關(guān)的知名目標(biāo)。這種活動(dòng)似乎一直持續(xù)到2021年,當(dāng)時(shí)研究人員發(fā)現(xiàn)了一系列使用相同技術(shù)和惡意軟件的攻擊,其目的是在位于中亞的外交組織中潛伏下來。在撰寫的私人報(bào)告中,研究人員介紹了這項(xiàng)活動(dòng),重點(diǎn)關(guān)注攻擊者對(duì)感染鏈中的要素所做的各種變化,這可能是由于之前公開曝光其活動(dòng)造成的。
從那時(shí)起,研究人員發(fā)現(xiàn)了由ReconHellcat操作的其他文件。今年8月到9月間出現(xiàn)了一個(gè)新的活動(dòng),其感染鏈不斷發(fā)展。Zscaler的研究人員也在一篇文章中介紹了這項(xiàng)活動(dòng)。更新后的攻擊活動(dòng)中引入的一些變化包括依賴 Microsoft Word模板(。dotm)來實(shí)現(xiàn)持久性,而不是以前使用的Microsoft Word加載項(xiàng)(。wll)。盡管如此,一些TTP保持不變,因?yàn)樾碌母腥炬溔匀惶峁┫嗤淖罱K植入程序---Blacksoul惡意軟件,并且仍然使用Cloudflare Workers作為C2服務(wù)器。ReconHellcat的目標(biāo)是塔吉克斯坦、吉爾吉斯斯坦、巴基斯坦和土庫曼斯坦等中亞國家相關(guān)的政府組織和外交實(shí)體。此外,卡巴斯基的研究人員還確定了在前一波攻擊中沒有出現(xiàn)的兩個(gè)國家:阿富汗和烏茲別克斯坦。因此卡巴斯基判斷ReconHellcat可能是是使用俄語的威脅組織。
東南亞及朝鮮半島地區(qū)APT攻擊趨勢(shì)分析
今年6月,卡巴斯基觀察到Lazarus威脅組織使用MATA惡意軟件框架攻擊國防工業(yè)。過去,Lazarus曾經(jīng)使用MATA攻擊各個(gè)行業(yè)以實(shí)現(xiàn)類似網(wǎng)絡(luò)犯罪的意圖:竊取客戶數(shù)據(jù)庫和傳播勒索軟件。然而,在此次事件中,卡巴斯基發(fā)現(xiàn)Lazarus使用MATA進(jìn)行網(wǎng)絡(luò)間諜活動(dòng)。攻擊者提供了一個(gè)已知被他們選中的受害者使用的應(yīng)用程序的木馬化版本,這代表了Lazarus組織的已知特征。執(zhí)行此應(yīng)用程序會(huì)啟動(dòng)一個(gè)從下載程序開始的多階段感染鏈。該下載器從受感染的C2服務(wù)器中獲取額外的惡意軟件。卡巴斯基曾獲取了多個(gè)MATA組件以及插件。在此活動(dòng)中發(fā)現(xiàn)的MATA惡意軟件與以前的版本相比有所進(jìn)化,并使用合法的被盜證書以簽署其某些組件。通過這項(xiàng)研究,卡巴斯基發(fā)現(xiàn)了MATA和Lazarus集團(tuán)之間更緊密的聯(lián)系。
卡巴斯基還發(fā)現(xiàn)了使用更新后的DeathNote集群的Lazarus組織活動(dòng)。這些活動(dòng)涉及今年6月份對(duì)韓國智庫的襲擊,以及5月份對(duì)IT資產(chǎn)監(jiān)控解決方案供應(yīng)商的攻擊??ò退够恼{(diào)查顯示,有跡象表明Lazarus正在建立供應(yīng)鏈攻擊能力。在第一個(gè)案例中,卡巴斯基發(fā)現(xiàn)感染鏈源于合法的韓國安全軟件執(zhí)行惡意載荷;在第二個(gè)案例中,攻擊目標(biāo)是一家在拉脫維亞開發(fā)資產(chǎn)監(jiān)控解決方案的公司,該公司是Lazarus的非典型受害者。DeathNote惡意軟件集群包含一個(gè)部分更新的BLINDINGCAN變種,這是美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)先前報(bào)告過的惡意軟件。BLINDINGCAN還被用于分發(fā)COPPERHEDGE的新變種,這在CISA的一篇文章中也有提及。卡巴斯基之前曾在2020年1月公布了其對(duì)COPPERHEDGE的初步發(fā)現(xiàn)。作為感染鏈的一部分,Lazarus使用了一個(gè)名為Racket的下載器,并使用竊取來的證書進(jìn)行簽名。由于使用本地CERT接管攻擊者的基礎(chǔ)設(shè)施,卡巴斯基有機(jī)會(huì)研究與DeathNote集群相關(guān)的幾個(gè)C2腳本。該攻擊者破壞了易受攻擊的Web服務(wù)器并上傳了幾個(gè)腳本,用于過濾和控制被入侵的受害者機(jī)器上的惡意植入程序。
Kimsuky集團(tuán)是目前最活躍的APT組織之一。該威脅組織以專注于網(wǎng)絡(luò)間諜活動(dòng)而聞名,但偶爾也會(huì)進(jìn)行網(wǎng)絡(luò)攻擊以獲取經(jīng)濟(jì)利益。與其他APT組織采取“報(bào)團(tuán)取暖”的方式一樣,Kimsuky也包含幾個(gè)集群:BabyShark、AppleSeed、FlowerPower和GoldDragon。
每個(gè)集群采取不同的攻擊手法并具有不同的特征:
BabyShark在C2操作中嚴(yán)重依賴腳本化惡意軟件和受感染的Web服務(wù)器;AppleSeed使用名為AppleSeed的獨(dú)特后門;FlowerPower使用PowerShell腳本和惡意的Microsoft Office文檔;GoldDragon是最古老的集群,最接近原始的Kimsuky惡意軟件。
但是,這些集群也顯示出一些重疊。特別是GoldDragon和FlowerPower在其C2基礎(chǔ)設(shè)施中共享緊密的連接。不過,其他集群也與C2基礎(chǔ)設(shè)施有部分連接??ò退够u(píng)估認(rèn)為BabyShark和AppleSeed的操作策略不同。
早在今年5月,卡巴斯基就發(fā)表了一份關(guān)于新發(fā)現(xiàn)的Andariel活動(dòng)的報(bào)告。在該活動(dòng)中,位于韓國的眾多行業(yè)都成為定制勒索軟件的目標(biāo)??ò退够芯堪l(fā)現(xiàn)攻擊者使用兩個(gè)載體來破壞目標(biāo)。第一個(gè)是使用帶有惡意宏的武器化Microsoft Office文檔。在卡巴斯基最初發(fā)布研究報(bào)告時(shí),第二個(gè)載體仍然未知,但卡巴斯基發(fā)現(xiàn)了包含工具ezPDF Reader路徑的工件,該工具由一家名為Unidocs的韓國軟件公司開發(fā)??ò退够鄙倜鞔_的證據(jù)表明攻擊利用了該軟件中的漏洞,為了解決這個(gè)謎團(tuán),卡巴斯基決定審核該應(yīng)用程序的二進(jìn)制文件。通過對(duì)該軟件進(jìn)行分析,卡巴斯基發(fā)現(xiàn)了ezpdfwslauncher.exe中的一個(gè)遠(yuǎn)程代碼執(zhí)行漏洞,該漏洞可以利用ezPDF Reader入侵網(wǎng)絡(luò)上的計(jì)算機(jī),而無需任何用戶交互??ò退够浅W孕诺卣J(rèn)為Andariel組織在其攻擊中使用了相同的漏洞。在此發(fā)現(xiàn)后,卡巴斯基聯(lián)系了Unidocs的開發(fā)人員,并與他們分享了此漏洞的詳細(xì)信息。該漏洞被編號(hào)為CVE-2021-26605。
本季度,卡巴斯基介紹了與Origami Elephant威脅組織(又名DoNot組織,APT-C-35,SECTOR02)相關(guān)的活動(dòng),這些活動(dòng)從2020年初一直持續(xù)到今年。Origami Elephant繼續(xù)利用已知的Backconfig(又名Agent K1)和Simple Uploader組件,但卡巴斯基也發(fā)現(xiàn)了名為VTYREI(又名 BREEZESUGAR)的鮮為人知的惡意軟件用作第一階段的有效負(fù)載。此外,卡巴斯基還發(fā)現(xiàn)了一種獨(dú)特的技術(shù),利用這種技術(shù)可以對(duì)惡意文檔中使用的遠(yuǎn)程模板進(jìn)行編碼,在此之前卡巴斯基還沒有看到其他威脅組織使用過這種技術(shù)。該組織的目標(biāo)與過去一致:繼續(xù)關(guān)注南亞地區(qū),對(duì)主要位于巴基斯坦、孟加拉國、尼泊爾和斯里蘭卡的政府和軍事實(shí)體特別感興趣。
卡巴斯基還跟蹤了從2020年底至本報(bào)告發(fā)布時(shí)針對(duì)Android手機(jī)的Origami Elephan活動(dòng)。之前卡巴斯基也對(duì)該活動(dòng)進(jìn)行了報(bào)告??ò退够⒁獾?,基礎(chǔ)設(shè)施仍然處于活動(dòng)狀態(tài),與卡巴斯基之前報(bào)告的相同惡意軟件進(jìn)行通信,僅在代碼混淆方面有一些變化。攻擊目標(biāo)與去年相同,受害者位于南亞地區(qū),主要是印度、巴基斯坦和斯里蘭卡。與去年的攻擊活動(dòng)相比,該攻擊者修改了感染鏈。卡巴斯基發(fā)現(xiàn)Android特洛伊木馬是直接分發(fā)的,而不是通過下載程序stager。這是通過指向惡意登錄頁面的鏈接或通過某些即時(shí)消息平臺(tái)(如WhatsApp)直接發(fā)送消息來完成的??ò退够治龅臉颖灸M了各種應(yīng)用程序,例如私密消息、VPN以及媒體服務(wù)??ò退够膱?bào)告涵蓋了Origami Elephant針對(duì)Android設(shè)備活動(dòng)的現(xiàn)狀,并提供了與最新和過去的活動(dòng)相關(guān)的額外IoC。利用卡巴斯基之前的研究提供的線索掃描互聯(lián)網(wǎng),能夠發(fā)現(xiàn)新部署的主機(jī),在某些情況下,甚至在它們處于活躍狀態(tài)之前就能發(fā)現(xiàn)。
寫在文末
雖然一些威脅組織的TTP隨著時(shí)間的推移仍然保持一致,嚴(yán)重依賴社會(huì)工程學(xué)作為其在目標(biāo)組織中潛伏下來或破壞個(gè)人設(shè)備的一種手段,但也有其他組織更新了他們的工具集并擴(kuò)展了他們的活動(dòng)范圍??ò退够亩ㄆ诩径葘彶橹荚谕怀鯝PT組織的關(guān)鍵性發(fā)展變化。
以下是卡巴斯基在2021年第三季度發(fā)現(xiàn)的主要趨勢(shì):
?。ㄒ唬├^續(xù)發(fā)現(xiàn)供應(yīng)鏈攻擊,包括SmudgeX、DarkHalo和Lazarus的攻擊。
(二)在本季度,卡巴斯基專注于研究和拆除其檢測(cè)到的惡意活動(dòng)后的監(jiān)視框架。其中包括FinSpy和使用商業(yè)post-exploitation框架Slingshot暫存的高級(jí)且功能強(qiáng)大的有效載荷。這些工具包含強(qiáng)大的隱蔽功能,例如使用Bootkits進(jìn)行持久化。Bootkits仍然是一些備受矚目的APT攻擊的活躍組件,盡管微軟已經(jīng)添加了各種緩解措施,使它們?cè)赪indows操作系統(tǒng)上的部署變得不那么容易。
?。ㄈ┛ò退够^察到,本季度來自使用中文的威脅組織的活動(dòng)異常激增,尤其是與年初相比。相比之下,卡巴斯基注意到,本季度中東的活動(dòng)有所減少。
?。ㄋ模┥鐣?huì)工程學(xué)仍然是發(fā)起攻擊的關(guān)鍵方法;但也有漏洞利用(CloudComputating、Origami Elephant、Andariel),包括利用固件漏洞。
?。ㄎ澹└鞣N威脅組織(例如Gamaredon、CloudComputating、ExCone、Origami Elephant、ReconHellcat、SharpPanda)的活動(dòng)表明,地緣政治繼續(xù)推動(dòng)APT的發(fā)展。