《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > 卡巴斯基:2021 Q1 IT威脅演變報(bào)告

卡巴斯基:2021 Q1 IT威脅演變報(bào)告

2021-06-06
來源:嘶吼專業(yè)版
關(guān)鍵詞: 卡巴斯基 供應(yīng)鏈攻擊

  針對(duì)性攻擊事件

  SolarWinds供應(yīng)鏈攻擊事件

  2020年12 月,,國際IT管理軟件供應(yīng)商SolarWinds被發(fā)現(xiàn)其Orion軟件更新服務(wù)器上存在一個(gè)受感染的更新程序,此次事件導(dǎo)致世界各地超18,000 名 SolarWinds 客戶(包括許多大型公司和政府機(jī)構(gòu))受到感染,,受害者機(jī)器上被部署了名為 Sunburst的自定義后門。

  此次攻擊行動(dòng)中較為與眾不同的是對(duì)特定受害者的分析和驗(yàn)證方案。在受惡意軟件影響的18,000個(gè)Orion IT客戶中,,攻擊者似乎只對(duì)少數(shù)幾個(gè)感興趣,。此外攻擊者采用了多種方法來盡可能長時(shí)間地保持隱蔽性,例如在首次與其C2建立連接之前,,Sunburst惡意軟件處于休眠狀態(tài)長達(dá)兩個(gè)星期,,從而無法輕易在沙箱中檢測到其行為。

  對(duì) Sunburst 后門的進(jìn)一步調(diào)查揭示它與 Kazuar后門有所關(guān)聯(lián),,后者是 2017 年公布的 .NET 后門,,目前歸于Turla APT 組織。Sunburst 和 Kazuar 之間的共通點(diǎn)包括:受害者 UID 生成算法,、初始睡眠算法以及廣泛使用FNV1a散列來混淆字符串比較,。這背后有幾種可能性,一是Sunburst可能與 Kazuar 由同一組人員開發(fā),,Sunburst的開發(fā)人員采用了Kazuar的一些代碼,;二是Kazuar某些開發(fā)人員進(jìn)了Sunburst團(tuán)隊(duì);三是Sunburst的開發(fā)人員故意留下這些線索誤導(dǎo)分析,。

  Lazarus組織攻擊國防工業(yè)

  Lazarus是當(dāng)今最多產(chǎn),、活躍的威脅組織之一,,參與了多起大規(guī)模的網(wǎng)絡(luò)間諜、勒索軟件,、加密貨幣的攻擊行動(dòng),。

  從2020年初開始,該威脅組織一直在使用一個(gè)被稱為ThreatNeedle的定制后門程序?qū)κ畮讉€(gè)國家的國防工業(yè)目標(biāo)實(shí)施攻擊,。該后門會(huì)在受感染網(wǎng)絡(luò)內(nèi)橫向移動(dòng),,收集敏感信息。

初始感染一般通過魚叉式釣魚攻擊進(jìn)行,,以新冠疫情或疫苗接種的名義誘使受害者點(diǎn)擊,,惡意文檔后釋放惡意軟件,后者進(jìn)入下一階段的部署過程,。安裝后,,ThreatNeedle會(huì)獲得受害者設(shè)備的完全控制權(quán),這意味著攻擊者可以做任何事情,,從操縱文件到執(zhí)行接收到的命令,。

  在獲得初始的立足點(diǎn)后,攻擊者收集憑證并橫向移動(dòng),,在受害者的環(huán)境中尋找關(guān)鍵資產(chǎn),。他們通過訪問內(nèi)部路由器并將其配置為代理服務(wù)器來克服網(wǎng)絡(luò)分段,從而將被盜數(shù)據(jù)從受害者的內(nèi)聯(lián)網(wǎng)泄露到遠(yuǎn)程服務(wù)器,。

  下圖展示了Lazarus使用的ThreatNeedle武器集與其他武器集的關(guān)聯(lián),。

微信圖片_20210606144937.jpg

  MS Exchange 0 day漏洞被廣泛利用

  3月2日,微軟發(fā)布了針對(duì)Exchange Server中的四個(gè)0day漏洞(CVE-2021-26855,、CVE-2021-26857,、CVE-2021-26858和CVE-2021-27065)的帶外補(bǔ)丁。通過這些漏洞,,攻擊者無需身份驗(yàn)證或訪問個(gè)人電子郵件帳戶即可從Exchange服務(wù)器讀取電子郵件,。而通過后面的漏洞鏈接,攻擊者則能夠完全接管郵件服務(wù)器,。

  一旦攻擊者接管了Exchange服務(wù)器,,他們就可以將網(wǎng)絡(luò)連接至互聯(lián)網(wǎng)并開始遠(yuǎn)程訪問。許多Exchange服務(wù)器都具有internet exposer功能(特別是Outlook Web Access功能),,并集成到更廣泛的網(wǎng)絡(luò)中,,這對(duì)數(shù)百萬組織構(gòu)成了嚴(yán)重的安全風(fēng)險(xiǎn)。

  這些漏洞似乎至少從今年1月初開始就被利用,。全球各地的公司都成為利用這些漏洞的攻擊的目標(biāo),,其中最集中在歐洲和美國。

  微軟將這些攻擊歸咎于一個(gè)名為 Hafnium的威脅行為者,并稱該組織歷來以美國機(jī)構(gòu)為目標(biāo),,包括傳染病研究人員,、律師事務(wù)所、高等教育機(jī)構(gòu),、國防承包商,、政策智庫和非政府組織等。

  Ecipekac:在 A41APT 活動(dòng)中發(fā)現(xiàn)的復(fù)雜多層加載程序

  A41APT是一項(xiàng)長期運(yùn)行的活動(dòng),,從2019年3月到2020年12月底檢測到過,。該活動(dòng)源于初始感染中使用的攻擊者系統(tǒng)的主機(jī)名“ DESKTOP-A41UVJV”。攻擊者利用Pulse Connect Secure中的漏洞,,或利用先前操作中被盜的系統(tǒng)憑據(jù)來劫持VPN會(huì)話,。

  此活動(dòng)中的一種特定惡意軟件稱為Ecipekac(又名 DESLoader、SigLoader 和 HEAVYHAND),,它是一個(gè)非常復(fù)雜的多層加載程序模塊,,用于交付有效負(fù)載,如SodaMaster(又名DelfsCake,,dfls和DARKTOWN),,P8RAT(又名GreetCake和HEAVYPOT)和FYAnti(又名DILLJUICE stage2),進(jìn)而加載 QuasarRAT,。

  該活動(dòng)的操作和植入都非常隱蔽,,威脅行為者實(shí)施了多項(xiàng)措施來隱藏自己并使其更難以分析,因此很難跟蹤威脅行為者的活動(dòng),。活動(dòng)中使用的大多數(shù)惡意軟件系列都是無文件惡意軟件,,以前從未見過,。

  我們認(rèn)為 Ecipekac惡意軟件最重要的方面是將加密的shellcode插入到數(shù)字簽名的 DLL 中而不會(huì)影響數(shù)字簽名的有效性。使用此技術(shù)時(shí),,某些安全解決方案無法檢測到這些植入程序,。從 P8RAT 和 SodaMaster 后門的主要特征來看,這些模塊是負(fù)責(zé)下載更多惡意軟件的下載器,,但這些惡意軟件我們迄今為止無法獲得,。

  其他惡意行動(dòng)

  偽裝成廣告攔截器的礦機(jī)

  前段時(shí)間,我們發(fā)現(xiàn)了一些偽造的應(yīng)用程序被用來向目標(biāo)計(jì)算機(jī)提供加密貨幣礦機(jī),。偽造程序是通過惡意網(wǎng)站分發(fā)的,,這些網(wǎng)站可能會(huì)列在受害者的搜索結(jié)果中,比如有點(diǎn)惡意軟件偽裝成 Malwarebytes防病毒安裝程序,。在最新的觀察中,,又有惡意軟件冒充了多個(gè)應(yīng)用程序:廣告攔截器 AdShield 和 Netshield,以及 OpenDNS服務(wù)等。

  受害者啟動(dòng)程序后,,惡意軟件會(huì)更改設(shè)備上的 DNS 設(shè)置,,以便通過攻擊者的服務(wù)器解析所有域,進(jìn)而阻止受害者訪問某些防病毒站點(diǎn),。然后惡意軟件會(huì)自我更新,,下載并運(yùn)行經(jīng)過修改的傳輸 Torrent 客戶端,該客戶端會(huì)將目標(biāo)計(jì)算機(jī)的 ID 以及安裝詳細(xì)信息發(fā)送到 C2 服務(wù)器,,接著下載并安裝礦機(jī),。

  卡巴斯基數(shù)據(jù)顯示,從 2021 年 2 月至今,,超過 7,000 名用戶的設(shè)備有安裝虛假應(yīng)用程序的動(dòng)作,。在當(dāng)前活動(dòng)的高峰期,每天有超過 2,500 人受到攻擊,,大多數(shù)受害者位于俄羅斯和獨(dú)聯(lián)體國家,。

  加密虛擬硬盤的勒索軟件

  勒索軟件團(tuán)伙正在利用 VMware ESXi中的漏洞攻擊虛擬硬盤并加密存儲(chǔ)在其中的數(shù)據(jù)。ESXi 管理程序允許多個(gè)虛擬機(jī)使用 SLP(服務(wù)層協(xié)議)在單個(gè)服務(wù)器上存儲(chǔ)信息,。

  第一個(gè)漏洞(CVE-2019-5544)可用于進(jìn)行堆溢出攻擊,,第二個(gè) (CVE-2020-3992) 是一個(gè) Use-After-Free (UAF 漏洞,與程序運(yùn)行期間不正確使用動(dòng)態(tài)內(nèi)存有關(guān),。一旦攻擊者能夠在目標(biāo)網(wǎng)絡(luò)中獲得初步立足點(diǎn),,他們就可以利用這些漏洞生成惡意 SLP 請(qǐng)求并破壞數(shù)據(jù)存儲(chǔ)。

  RansomExx勒索軟件背后的團(tuán)伙正在利用這些漏洞,,Darkside組織也在使用相同的方法,,而BabuLocker木馬背后的攻擊者也暗示他們能夠加密ESXi。

  針對(duì)macOS的惡意軟件

  去年年底,,蘋果推出了由自己的M1芯片搭載的設(shè)備,,旨在取代其計(jì)算機(jī)中的英特爾處理器。在第一臺(tái) Apple M1計(jì)算機(jī)發(fā)布僅僅幾個(gè)月后,,黑客就已經(jīng)重新編譯了代碼以使其適應(yīng)新的架構(gòu),。

  這其中包括XCSSET的開發(fā)人員。XCSSET是去年首次發(fā)現(xiàn)的惡意軟件,,它將惡意負(fù)載注入Mac上的 Xcode IDE 項(xiàng)目,,此有效負(fù)載隨后在Xcode 中構(gòu)建項(xiàng)目文件期間執(zhí)行。XCSSET 模塊能夠讀取和轉(zhuǎn)儲(chǔ) Safari cookie,,將惡意JavaScript代碼注入各種網(wǎng)站,,從 Notes、微信,、Skype,、Telegram 等應(yīng)用程序中竊取文件和信息,,并對(duì)文件進(jìn)行加密。我們觀察到的樣本中就包括一些專門為 Apple Silicon 芯片編譯的樣本,。

  Silver Sparrow 是另一款針對(duì) M1 芯片的惡意軟件,。這類惡意軟件引入了一種濫用默認(rèn)封裝功能的新方法:不將惡意負(fù)載放置在預(yù)安裝或安裝后腳本中,而是將其隱藏在分發(fā) XML 文件中,。此有效負(fù)載使用 JavaScript API 運(yùn)行 bash 命令以下載 JSON 配置文件,,從“downloadURL”字段中提取 URL 以供下次下載。還為惡意樣本的持續(xù)執(zhí)行創(chuàng)建了適當(dāng)?shù)膯?dòng)代理,。無論芯片架構(gòu)如何,,JavaScript負(fù)載都可以執(zhí)行,對(duì)包文件的分析表明它同時(shí)支持Intel和M1芯片,。

  在macOS 平臺(tái)檢測到的大多數(shù)惡意對(duì)象都是廣告軟件,。這些程序的開發(fā)人員也在更新代碼以支持 M1 芯片,比如 Pirrit 和 Bnodlero 家族,。

  網(wǎng)絡(luò)犯罪分子不只是增加對(duì)新平臺(tái)的拓展,,有時(shí)他們會(huì)使用新的編程語言來開發(fā)“產(chǎn)品”。最近,,macOS 廣告軟件開發(fā)人員越來越關(guān)注新語言的運(yùn)用,,前段時(shí)間有不少用 Go 編寫的樣本,而最近網(wǎng)絡(luò)犯罪分子又將注意力轉(zhuǎn)向了Rust,,比如 Convuster廣告軟件程序,。

  跟蹤軟件

  跟蹤軟件是一種商用軟件,指在他人不知情或未經(jīng)他人同意的情況下通過他們的設(shè)備監(jiān)視他人,。歐洲性別平等研究所在2017 年的一份報(bào)告中表示,,每 10 名受在線跟蹤影響的女性中,就有7人遭受過施暴者的身體暴力,。反跟蹤軟件聯(lián)盟將跟蹤軟件定義為“可能促進(jìn)伴侶監(jiān)視,、騷擾、虐待,、跟蹤或暴力”的軟件。

  近年來,,受跟蹤軟件影響的人數(shù)一直在增加,,2020 年的人數(shù)受疫情影響有所下降,不過53,870 是一個(gè)很大的數(shù)字,,而且這格數(shù)字是卡巴斯基客戶的數(shù)量,,那么實(shí)際數(shù)字要高得多。

微信圖片_20210606144950.jpg

  2020年最常檢測到的跟蹤軟件樣本是Monitor.AndroidOS.Nidb.a,。此應(yīng)用程序以其他名稱的形式出售,,如iSpyoo,、TheTruthSpy 和 Copy9,也有以防盜保護(hù)程序出售的Cerberus,,Cerberus 可以訪問地理位置,、拍照、截屏,、錄制聲音,,類似的還有Track My Phone(檢測為 Agent.af)、MobileTracker 和 Anlost,。

  全球檢測到的跟蹤軟件樣本前 10 名:

微信圖片_20210606144954.jpg

  跟蹤軟件檢測數(shù)量最多的是俄羅斯,、巴西和美國。

  全球受跟蹤軟件影響最嚴(yán)重的 10 個(gè)國家/地區(qū):

微信圖片_20210606144958.jpg

  2019 年,,卡巴斯基和其他九名成員創(chuàng)建了反跟蹤軟件聯(lián)盟,,并于去年創(chuàng)建了 TinyCheck,這是一個(gè)免費(fèi)工具,,用于檢測移動(dòng)設(shè)備上的跟蹤軟件——專門為可能面臨家庭暴力的人提供的,。

  對(duì)企業(yè)的人肉搜索

  當(dāng)提到人肉搜索時(shí),人們往往認(rèn)為它只適用于知名人士,,但公司機(jī)密信息在泄露后同樣容易導(dǎo)致其成為受害者,,比如多個(gè)勒索軟件團(tuán)伙就以泄露被盜公司數(shù)據(jù)的名義索要大額贖金。

  網(wǎng)絡(luò)犯罪分子使用各種方法來收集機(jī)密的公司信息,。

  最簡單的方法之一是使用開源情報(bào) (OSINT)——即從可公開訪問的來源收集數(shù)據(jù),。互聯(lián)網(wǎng)為潛在的攻擊者提供了許多有用的信息,,包括員工的姓名和職位,,包括在公司擔(dān)任關(guān)鍵職位的人。

  從員工的在線個(gè)人資料中收集的信息可用于設(shè)置 BEC(商業(yè)電子郵件威脅)攻擊,,攻擊者通過冒充不同的員工與合作伙伴公司通信,,說服目標(biāo)執(zhí)行某些操作,例如發(fā)送機(jī)密數(shù)據(jù)或?qū)①Y金轉(zhuǎn)移到攻擊者控制的帳戶,。BEC 攻擊還可用于收集有關(guān)公司的更多信息或訪問有價(jià)值數(shù)據(jù)或公司資源,,例如基于云的系統(tǒng)的憑據(jù)。

  網(wǎng)絡(luò)犯罪分子還可以通過發(fā)送包含跟蹤像素的電子郵件獲取受害者的信息,,諸如打開電子郵件的時(shí)間,、收件人郵件客戶端的版本和 IP 地址等數(shù)據(jù)。這些數(shù)據(jù)讓攻擊者可以冒充受害人用于隨后的攻擊,。

  網(wǎng)絡(luò)釣魚仍然是攻擊者收集公司數(shù)據(jù)的有效方式,。例如,攻擊者可能會(huì)模仿SharePoin 等業(yè)務(wù)平臺(tái)向員工發(fā)送釣魚鏈接,,員工點(diǎn)擊鏈接后被重定向到釣魚網(wǎng)站,,輸入公司帳戶憑據(jù)數(shù)據(jù)后被攻擊者捕獲,。

  除了郵件釣魚,還有電話釣魚的方式,,要么直接致電員工并試圖“釣魚”公司信息,,要么發(fā)送消息并要求他們撥打提供的號(hào)碼——這種方法曾在2020年7月的 Twitter黑客事件中使用過,甚至出現(xiàn)了網(wǎng)絡(luò)犯罪分子獲取某國際公司CEO的音視頻內(nèi)容,,利用deepfake技術(shù)模仿CEO的聲音,,說服該公司某分公司的管理團(tuán)隊(duì)向騙子轉(zhuǎn)賬的案例。




電子技術(shù)圖片.png


本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點(diǎn)。轉(zhuǎn)載的所有的文章,、圖片,、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者,。如涉及作品內(nèi)容,、版權(quán)和其它問題,請(qǐng)及時(shí)通過電子郵件或電話通知我們,,以便迅速采取適當(dāng)措施,,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話:010-82306118,;郵箱:[email protected],。