《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動態(tài) > 2021年第二季度全球APT趨勢報(bào)告(一)

2021年第二季度全球APT趨勢報(bào)告(一)

2021-08-08
來源:嘶吼專業(yè)版

  四年多來,,卡巴斯基的全球研究和分析團(tuán)隊(duì)(GReAT)一直在發(fā)布高級持續(xù)威脅(APT)活動的季度報(bào)告,。

  最值得注意的發(fā)現(xiàn)

  在調(diào)查最近的Microsoft Exchange漏洞時,研究人員和來自AMR的同事發(fā)現(xiàn)一個攻擊者部署了一個之前不為人知的后門“FourteenHi”,研究人員將其命名為ExCone,,該活動自3月中旬開始活躍。在調(diào)查過程中,,研究人員發(fā)現(xiàn)了FourteenHi的多種工具和變體,,F(xiàn)ireEye報(bào)告的基礎(chǔ)設(shè)施與UNC2643活動集群相關(guān)。此外,,研究人員發(fā)現(xiàn)ShadowPad檢測與FourteenHi變種攻擊相一致,,這可能暗示了這兩個惡意程序家族之間的共享操作。

  FourteenHi濫用流行的VLC媒體播放器來執(zhí)行它的加載程序,,可以執(zhí)行基本的后門功能,。進(jìn)一步的調(diào)查還揭示了攻擊者在使用后獲得態(tài)勢感知的腳本,以及之前使用的基礎(chǔ)設(shè)施來操作Cobalt Strike信標(biāo),。

  盡管研究人員不能直接將此行為歸因于任何已知的威脅因素,,但研究人員發(fā)現(xiàn)了與ShadowPad惡意程序密切相關(guān)的較老的、高度相似的64位后門樣本,,主要以其涉及供應(yīng)鏈攻擊的操作為攻擊載體而聞名,。值得注意的是,研究人員還發(fā)現(xiàn)在 UNC2643 活動集中使用的 64 位樣本中使用了一個 C2 IP,,與 HAFNIUM 攻擊者相關(guān),,也使用 Cobalt Strike、DLL 側(cè)加載和利用相同的 Exchange 漏洞,。

  俄語地區(qū)的 APT活動

  5月27日和28日,,Volexity和微軟公布了一項(xiàng)針對歐洲和北美外交機(jī)構(gòu)的持續(xù)電子郵件行動的細(xì)節(jié)。這些攻擊分別來自微軟的Nobelium和Volexity的APT29,。雖然研究人員確認(rèn)了惡意程序和可能的攻擊目標(biāo),,但目前研究人員還無法確定是哪個攻擊者所為,盡管研究人員發(fā)現(xiàn)了與Kazuar的聯(lián)系,。研究人員認(rèn)為它為新的攻擊者并命名為“HotCousin”,,攻擊開始于一個魚叉式釣魚電子郵件,導(dǎo)致ISO文件容器存儲在磁盤上并掛載,。這樣,,受害者就會看到一個LNK文件,看起來像資源管理器窗口中的一個文件夾,。如果受害者雙擊它,,LNK 就會執(zhí)行一個用 .NET 編寫的加載程序,,稱為 BoomBox 或 DLL。執(zhí)行鏈最終以 Cobalt Strike 信標(biāo)有效載荷加載到內(nèi)存中結(jié)束,。根據(jù)公開的研究,,攻擊目標(biāo)很普遍,但主要集中在歐洲和北美的外交機(jī)構(gòu):根據(jù)與惡意程序捆綁在一起的誘餌文件的內(nèi)容,,這種評估似乎是準(zhǔn)確的,。這一家族活動從 1 月就開始了,有選擇性地瞄準(zhǔn)目標(biāo),,行動速度緩慢,,然后逐漸增加并在 5 月結(jié)束。根據(jù)其他帶有類似工具標(biāo)記的Cobalt Strike有效載荷和加載程序,,有跡象表明,,這一攻擊者此前的活動至少可以追溯到2020年10月。

  華語地區(qū)的 APT活動

  在調(diào)查最近針對 Exchange 服務(wù)器的攻擊事件時,,研究人員注意到在幾個不同的受攻擊網(wǎng)絡(luò)中出現(xiàn)了重復(fù)出現(xiàn)的活動集群,。這個集群之所以引人注目,是因?yàn)樗褂昧艘粋€以前未知的 Windows 內(nèi)核模式 rootkit 和一個復(fù)雜的多階段惡意程序框架,,旨在提供對受攻擊服務(wù)器的遠(yuǎn)程控制,。前者用于向調(diào)查人員和安全解決方案隱藏用戶模式惡意程序的人工制品,同時展示了一個有趣的加載方案,,該方案涉及名為“Cheat Engine”的開源項(xiàng)目的內(nèi)核模式組件,以繞過 Windows 驅(qū)動程序簽名強(qiáng)制機(jī)制,。研究人員能夠確定,,該工具集早在2020年7月就已經(jīng)在使用,并且主要針對東南亞目標(biāo),,包括幾個政府機(jī)構(gòu)和電信公司,。由于這是一項(xiàng)長期存在的操作,具有備受矚目的受害者,、先進(jìn)的工具集,,另外它與已知的攻擊者沒有關(guān)聯(lián),因此研究人員決定將底層集群命名為“GhostEmperor”,。

  APT31(又名ZIRCONIUM)是一個中文黑客程序,。該攻擊者建立了一個 ORB(操作中繼盒)基礎(chǔ)設(shè)施,由幾個受攻擊者的 SOHO 路由器組成,,以針對位于歐洲(可能還有其他地方)的機(jī)構(gòu),。截至 5 月份發(fā)布報(bào)告時,研究人員已經(jīng)看到這些 ORB 用于中繼 Cobalt Strike 通信和匿名代理目的,。APT31 很可能將它們用于其他植入和結(jié)束,,例如,,漏洞利用或惡意程序暫存。APT31 部署的大部分基礎(chǔ)設(shè)施包括受攻擊者的 Pakedge 路由器(RK1,、RE1 和 RE2),。這個鮮為人知的開發(fā)者專門從事小型企業(yè)路由器和網(wǎng)絡(luò)設(shè)備。到目前為止,,研究人員不知道惡意攻擊程序利用了哪個特定漏洞來破壞路由器,。研究人員目前也沒有辦法來進(jìn)一步了解此活動,當(dāng)然,,他們將繼續(xù)跟蹤這些活動,。

  在研究人員之前關(guān)于 EdwardsPhesant 的報(bào)告之后,DomainTools 和 BitDefender 發(fā)表了關(guān)于針對東南亞目標(biāo)的惡意活動的文章,,研究人員相信這些文章是 EdwardsPhesent 活動的一部分,,可信度非常高。在跟蹤該攻擊者的活動,、分析第三方發(fā)現(xiàn)或提供的樣本以及從公共IoC 進(jìn)行調(diào)查的同時,,研究人員發(fā)現(xiàn)了一個更新的 DropPhone 植入程序、一個由 FoundCore 的 shellcode 加載的附加植入程序,、幾個可能的新攻擊文檔和惡意域名,,以及其他目標(biāo)。雖然研究人員不認(rèn)為研究人員對這組活動有一個完整的了解,,但研究人員本季度的報(bào)告標(biāo)志著在了解其范圍方面又邁出了重要的一步,。

  2 月份,一個帶有中文標(biāo)識符的 APT 入侵了蒙古的一家證書頒發(fā)機(jī)構(gòu),,并用惡意下載程序替換了數(shù)字證書管理客戶端軟件,。研究人員以 BountyGlad 的身份跟蹤這個組織的活動,相關(guān)基礎(chǔ)設(shè)施被識別并用于其他多個事件,,比如對香港 WebSphere 和 WebLogic 服務(wù)的服務(wù)器端攻擊,;在客戶端,木馬化 Flash Player 安裝程序,。通過這次供應(yīng)鏈攻擊,,該組織展示了其復(fù)雜的戰(zhàn)略性攻擊特征。雖然在像證書頒發(fā)機(jī)構(gòu)這樣的高價值網(wǎng)站上更換合法安裝程序需要中等水平的技能和協(xié)調(diào),,但其技術(shù)復(fù)雜程度與 ShadowHammer 不相上下,。雖然該組織部署了相當(dāng)有趣但簡單的隱寫術(shù)來掩蓋其 shellcode,但研究人員認(rèn)為它可能是使用多年來公開可用的代碼生成的,。在 2020 年期間,,先前與該組織相關(guān)的活動也嚴(yán)重依賴魚叉式網(wǎng)絡(luò)釣魚和 Cobalt Strike。一些活動涉及 PowerShell 命令和加載程序變體,與研究人員最近報(bào)告中提供的下載程序不同,。除了魚叉式網(wǎng)絡(luò)釣魚外,,該組織似乎還依靠公開可用的漏洞來滲透未打補(bǔ)丁的目標(biāo)系統(tǒng)。他們使用植入程序和 C2(命令和控制)代碼,,這些代碼是公開可用的和在多個講中文的 APT 之間私下共享的組合,。研究人員能夠跨多個事件連接基礎(chǔ)設(shè)施。其中一些重點(diǎn)是 2020 年的西方目標(biāo),。BountyGlad 也使用了 2020 年 5 月發(fā)布的 FBI Flash警報(bào)中列出的一些基礎(chǔ)設(shè)施,,這些基礎(chǔ)設(shè)施針對的是進(jìn)行 COVID-19 研究的美國組織。

  在調(diào)查攻擊了 TPCon 后門的用戶時,,研究人員檢測到了加載程序,,這是一個新的多插件惡意程序框架的一部分,研究人員命名為“QSC”,,它允許攻擊者在內(nèi)存中加載和運(yùn)行插件,。       基于受害者學(xué)和基礎(chǔ)設(shè)施與這些群體使用的其他已知工具的一些重疊,研究人員將此框架的幕后研發(fā)者歸因到華語地區(qū)的一個組織,。到目前為止,,研究人員已經(jīng)觀察到惡意程序在內(nèi)存中加載了命令外殼和文件管理器插件。根據(jù)發(fā)現(xiàn)的最古老樣本的編譯時間戳,,研究人員認(rèn)為該框架自2020年4月以來已經(jīng)在野外使用,。然而,研究人員的跟蹤表明該框架仍在使用中,,研究人員檢測到的最新活動是在今年 3 月,。

  本月早些時候,Rostelecom Solar 和 NCIRCC 發(fā)布了一份聯(lián)合公開報(bào)告,,描述了針對俄羅斯政府機(jī)構(gòu)網(wǎng)絡(luò)的一家族攻擊,。該報(bào)告描述了一個以前未知的攻擊者利用攻擊鏈導(dǎo)致部署兩個植入程序——WebDav-O 和 Mail-O。這些與其他后利用活動相結(jié)合,,已導(dǎo)致目標(biāo)組織中的網(wǎng)絡(luò)范圍攻擊,從而導(dǎo)致敏感數(shù)據(jù)被泄露,。研究人員能夠在追蹤分析中將 WebDav-O 植入程序的活動追溯到至少 2018 年,,這是一次針對白俄羅斯政府的攻擊。根據(jù)研究人員的調(diào)查,,研究人員能夠找到惡意程序的其他變體,,并觀察攻擊者在被攻擊的設(shè)備上執(zhí)行的一些命令。

  研究人員發(fā)現(xiàn)了一家族針對特定區(qū)域內(nèi)的電信運(yùn)營商的活動,,大部分活動發(fā)生在 2020 年 5 月至 2020 年 10 月,。該活動雖然使用了多個惡意程序家族和工具,但是基礎(chǔ)設(shè)施,、暫存目錄和國內(nèi)目標(biāo)配置文件顯示它們之間還是有聯(lián)系的,。攻擊者部署了一個以前未知的后門作為主要植入程序,,研究人員稱之為“TPCon”。它后來被用于在目標(biāo)組織內(nèi)執(zhí)行偵察和部署主要由公開可用工具組成的后攻擊工具集,。研究人員還發(fā)現(xiàn)了其他以前未知的活動后門,,研究人員稱之為“evsroin”,用作二次植入程序,。另一個有趣的發(fā)現(xiàn)是一個相關(guān)的加載程序(在暫存目錄中找到),,它加載了 KABA1 植入變體。KABA1 是一種用于攻擊整個南海目標(biāo)的植入程序,,研究人員將其歸因于 2016 年的 Naikon APT,。另一方面,在受影響的主機(jī)上,,研究人員發(fā)現(xiàn)了其他多個由華語地區(qū)攻擊者共享的惡意程序家族,,例如 ShadowPad 和 Quarian 后門。這些似乎與TPCon/evsroin事件沒有直接聯(lián)系,,因?yàn)橹С只A(chǔ)設(shè)施似乎是完全獨(dú)立的,。其中一個ShadowPad樣本似乎是在2020年被檢測到的,而其他樣本則在2019年被檢測到,。除了 Naikon 之外,,研究人員還發(fā)現(xiàn)與之前報(bào)道的 IceFog 和 IamTheKing 活動存在一些重疊。




電子技術(shù)圖片.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點(diǎn)。轉(zhuǎn)載的所有的文章,、圖片,、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者,。如涉及作品內(nèi)容,、版權(quán)和其它問題,請及時通過電子郵件或電話通知我們,,以便迅速采取適當(dāng)措施,,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話:010-82306118,;郵箱:[email protected],。