《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > 2021年第三季度APT趨勢(shì)報(bào)告(下)

2021年第三季度APT趨勢(shì)報(bào)告(下)

2021-11-03
來(lái)源:嘶吼專(zhuān)業(yè)版
關(guān)鍵詞: APT

  中東地區(qū)的APT攻擊情況

  Lyceum 是一個(gè)攻擊組織,至少自 2018 年以來(lái)一直在針對(duì)中東的知名目標(biāo)發(fā)起攻擊,。今年,,研究人員發(fā)現(xiàn)了該組織針對(duì)突尼斯航空和電信部門(mén)的攻擊活動(dòng)。他們發(fā)現(xiàn),,攻擊者在開(kāi)發(fā)兩個(gè)新的基于 C++ 的惡意軟件植入時(shí)表現(xiàn)的更加有活力其攻擊速度快捷,,研究人員將它們命名為 Kevin 和 James。兩者都依賴(lài)于該組織使用的舊惡意軟件的技術(shù)和通信協(xié)議,,并開(kāi)發(fā)了 DanBot,。在研究人員對(duì)這一活動(dòng)的報(bào)告以及針對(duì)該組織新發(fā)現(xiàn)的植入程序的相應(yīng)保護(hù)部署之后,研究人員觀察到攻擊者反復(fù)嘗試部署他們之前的報(bào)告中未指定的新樣本,。其中一些樣本表明,,攻擊者還利用了兩個(gè)新的 C2 域,這可能是為了繞過(guò)安全機(jī)制,,從而緩解與已知域的通信,。這種體現(xiàn)了該組織堅(jiān)持攻擊目標(biāo)組織,并表明它在被發(fā)現(xiàn)后并沒(méi)有停止運(yùn)作的事實(shí),,這一事實(shí)可以通過(guò)該組織最近公開(kāi)曝光的另一組活動(dòng)得到認(rèn)證,。你可以在“Lyceum group reborn”文章中詳細(xì)了解研究人員的發(fā)現(xiàn)。

  東南亞及朝鮮半島的APT攻擊情況

  6 月,,研究人員觀察到 Lazarus 組織使用 MATA 惡意軟件框架攻擊國(guó)防企業(yè),。從歷史上看,Lazarus 使用 MATA 攻擊各個(gè)行業(yè),,以實(shí)現(xiàn)類(lèi)似網(wǎng)絡(luò)犯罪的意圖:竊取客戶(hù)數(shù)據(jù)庫(kù)和傳播勒索軟件,。然而,在該案例中,,研究人員看到 Lazarus 使用 MATA 進(jìn)行網(wǎng)絡(luò)間諜活動(dòng),。攻擊者提供了一個(gè)已知被他們選擇的受害者使用的應(yīng)用程序的木馬化版本,代表了 Lazarus 的已知特征。執(zhí)行此應(yīng)用程序會(huì)啟動(dòng)一個(gè)從下載程序開(kāi)始的多階段感染鏈,。該下載程序從受感染的 C2 服務(wù)器中獲取額外的惡意軟件,。研究人員能夠獲得多個(gè) MATA 組件,包括插件,。與之前的版本相比,,此次活動(dòng)中發(fā)現(xiàn)的 MATA 惡意軟件已經(jīng)迭代了多次,并使用盜竊的合法證書(shū)對(duì)其某些組件進(jìn)行簽名,。通過(guò)這項(xiàng)研究,,研究人員發(fā)現(xiàn) MATA 和 Lazarus 組織之間的聯(lián)系更緊密,包括獲取MATA惡意軟件的下載程序顯示了與TangoDaiwbo的聯(lián)系,,而研究人員之前認(rèn)為T(mén)angoDaiwbo是Lazarus組織開(kāi)發(fā)的,。

  研究人員還發(fā)現(xiàn)了使用更新的 DeathNote 集群的 Lazarus 團(tuán)體活動(dòng)。第一次涉及 6 月份對(duì)一家韓國(guó)智庫(kù)的攻擊,。第二次是 5 月份對(duì) IT 資產(chǎn)監(jiān)控解決方案供應(yīng)商的攻擊,。研究人員的調(diào)查揭示了指向 Lazarus 建立供應(yīng)鏈攻擊能力的跡象。在一個(gè)案例中,,研究人員發(fā)現(xiàn)感染鏈源于合法的韓國(guó)安全軟件執(zhí)行惡意載荷,;在第二個(gè)案例中,攻擊目標(biāo)是一家在拉脫維亞開(kāi)發(fā)資產(chǎn)監(jiān)控解決方案的公司,,該公司是 Lazarus 的非典型受害者,。DeathNote 惡意軟件集群包含一個(gè)稍微更新的 BLINDINGCAN 變體,這是美國(guó) CISA(網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局)先前報(bào)告的惡意軟件,。BLINDINGCAN 還被用于提供 COPPERHEDGE 的新變體,,CISA 文章中也有報(bào)道。研究人員之前曾在 2020 年 1 月報(bào)告了對(duì) COPPERHEDGE 的初步發(fā)現(xiàn),。作為感染鏈的一部分,,Lazarus 使用了一個(gè)名為 Racket 的下載程序,他們使用竊取的證書(shū)簽名,。由于使用本地 CERT 接管了攻擊者的基礎(chǔ)設(shè)施,,研究人員有機(jī)會(huì)研究與 DeathNote 集群相關(guān)的幾個(gè) C2 腳本。該攻擊者破壞了易受攻擊的 Web 服務(wù)器并上傳了幾個(gè)腳本來(lái)過(guò)濾和控制成功入侵的受害者設(shè)備上的惡意植入,。

  Kimsuky 組織是目前最活躍的 APT 組織之一,,攻擊者以專(zhuān)注于網(wǎng)絡(luò)間諜活動(dòng)而聞名,但偶爾會(huì)為了經(jīng)濟(jì)利益而進(jìn)行網(wǎng)絡(luò)攻擊,。與其他 APT 組織一樣,,Kimsuky 包含幾個(gè)集群:BabyShark、AppleSeed,、FlowerPower 和 GoldDragon,。

  每個(gè)集群使用不同的方法并具有不同的特征:

  ?BabyShark 在 C2 操作中嚴(yán)重依賴(lài)腳本化惡意軟件和受感染的 Web 服務(wù)器,;

  ?AppleSeed 使用名為 AppleSeed 的獨(dú)特后門(mén);

  ?FlowerPower 使用 PowerShell 腳本和惡意的 Microsoft Office 文檔,;

  ?GoldDragon 是最古老的集群,,最接近原始的 Kimsuky 惡意軟件。

  然而,,這些集群也顯示出一些重疊。特別是,,GoldDragon 和 FlowerPower 在其 C2 基礎(chǔ)設(shè)施中共享強(qiáng)大的連接,。但是,其他集群也與 C2 基礎(chǔ)設(shè)施有少量連接,,這說(shuō)明BabyShark 和 AppleSeed 的運(yùn)營(yíng)策略不同,。

  早在 5 月,研究人員就發(fā)表了一份關(guān)于新發(fā)現(xiàn)的Andariel活動(dòng)的報(bào)告,。在此活動(dòng)中,,位于韓國(guó)的眾多企業(yè)都成為自定義勒索軟件的目標(biāo)。在研究人員的研究中,,研究人員發(fā)現(xiàn)攻擊者使用兩個(gè)向量來(lái)破壞目標(biāo),。第一個(gè)是使用帶有惡意宏的武器化 Microsoft Office 文檔。在研究人員最初報(bào)告時(shí),,第二個(gè)向量仍然未知,,但研究人員發(fā)現(xiàn)了包含工具 ezPDF Reader 路徑的工件,該工具由一家名為 Unidocs 的韓國(guó)軟件公司開(kāi)發(fā),。由于研究人員缺少明確的證據(jù)表明攻擊利用了該軟件中的漏洞,,為了解決這個(gè)問(wèn)題,研究人員決定審核該應(yīng)用程序的二進(jìn)制文件,。研究人員對(duì)該軟件的分析使研究人員發(fā)現(xiàn)了 ezpdfwslauncher.exe 中的一個(gè)遠(yuǎn)程代碼執(zhí)行漏洞,,可以利用該漏洞在沒(méi)有任何用戶(hù)交互的情況下,利用ezpdfwslauncher.exe入侵網(wǎng)絡(luò)上的計(jì)算機(jī),。研究人員非常自信地評(píng)估 Andariel 組織在其攻擊中使用了相同的漏洞,。在此發(fā)現(xiàn)后,研究人員聯(lián)系了 Unidocs 的開(kāi)發(fā)人員,,并與他們分享了此漏洞的詳細(xì)信息,。目前,該漏洞已經(jīng)被命名為 CVE-2021-26605,,并進(jìn)行了修復(fù),。

  本季度,研究人員描述了與 Origami Elephant 攻擊者(又名 DoNot 團(tuán)隊(duì),,APT-C-35,,SECTOR02)相關(guān)的活動(dòng),,這些活動(dòng)從 2020 年初一直持續(xù)到今年。雖然Origami Elephant 繼續(xù)利用已知的 Backconfig(又名 Agent K1)和 Simple Uploader 組件,,但研究人員也發(fā)現(xiàn)了名為 VTYREI(又名 BREEZESUGAR)的鮮為人知的惡意軟件用作第一階段的有效載荷,。此外,研究人員觀察到了一種獨(dú)特的技術(shù),,可以對(duì)惡意文檔中使用的遠(yuǎn)程模板進(jìn)行編碼,,目前他們還沒(méi)有看到其他攻擊者使用過(guò)這種技術(shù)。攻擊者繼續(xù)關(guān)注南亞地區(qū),,對(duì)主要位于巴基斯坦,、孟加拉國(guó)、尼泊爾和斯里蘭卡的政府和軍事對(duì)象,。

  研究人員還跟蹤了從 2020 年底到報(bào)告發(fā)布期間針對(duì) Android 手機(jī)的 Origami Elephant 活動(dòng),。研究人員發(fā)現(xiàn)基礎(chǔ)設(shè)施仍然處于活躍狀態(tài),與之前報(bào)告的相同惡意軟件進(jìn)行通信,,盡管在代碼混淆方面有一些變化,。目標(biāo)與去年相同,受害者位于南亞地區(qū):尤其是印度,、巴基斯坦和斯里蘭卡,。與去年的攻擊活動(dòng)相比,攻擊者修改了感染鏈,。研究人員觀察到 Android木馬是直接傳播的,,而不是提供下載程序 stager。這是通過(guò)指向惡意登錄頁(yè)面的鏈接或通過(guò)某些即時(shí)消息平臺(tái)(例如 WhatsApp)直接發(fā)送消息來(lái)完成的,。研究人員分析的樣本模仿了各種應(yīng)用程序,,例如私人消息傳遞、VPN 和媒體服務(wù),。研究人員的報(bào)告涵蓋了 Origami Elephant 針對(duì) Android 設(shè)備的活動(dòng)的當(dāng)前狀態(tài),,并提供了與最新和歷史活動(dòng)相關(guān)的額外 IoC。使用研究人員之前研究中的可用線(xiàn)索掃描互聯(lián)網(wǎng),,研究人員能夠發(fā)現(xiàn)新部署的主機(jī),,在某些情況下甚至在它們變得活躍之前。

  其他有趣的發(fā)現(xiàn)

  9 月,,研究人員提供了 FinSpy PC 植入程序的概述,。這不僅包括Windows版本,也包括Linux和macOS版本,,它們共享相同的內(nèi)部結(jié)構(gòu)和功能,。FinSpy是一種臭名昭著的監(jiān)視工具,一些非政府組織多次報(bào)告說(shuō)它被用來(lái)對(duì)付記者,、政治異議人士和人權(quán)活動(dòng)家,。歷史上,,它的 Windows 植入是由單階段間諜軟件安裝程序表示的。直到 2018 年,,此版本已被多次檢測(cè)和研究,。從那時(shí)起,研究人員觀察到 FinSpy for Windows 的檢測(cè)率下降,。雖然這種異常的性質(zhì)仍然未知,,但研究人員開(kāi)始檢測(cè)一些帶有 Metasploit stagers 后門(mén)的可疑安裝程序包。直到 2019 年年中,,當(dāng)研究人員在適用于 Android 的 FinSpy Mobile 植入程序中找到為這些安裝程序提供服務(wù)的主機(jī)時(shí),,研究人員才能夠確定這些軟件包的屬性。在研究人員的調(diào)查過(guò)程中,,他們發(fā)現(xiàn)后門(mén)安裝程序只不過(guò)是第一階段的植入程序,用于在實(shí)際的 FinSpy 特洛伊木馬之前下載和部署更多有效載荷,。除了木馬安裝程序之外,,研究人員還觀察到涉及使用 UEFI 或 MBR bootkit的感染。雖然 MBR 感染至少在 2014 年就已為人所知,,但 UEFI bootkit 的詳細(xì)信息僅在研究人員的文章中首次被公開(kāi)披露,。在此分享一些關(guān)于 FinSpy 植入程序?qū)嶋H狀態(tài)的未知發(fā)現(xiàn)。

  在第三季度末,,研究人員發(fā)現(xiàn)了一個(gè)以前未知的具有高級(jí)功能的有效載荷,,它使用兩個(gè)感染鏈向中東的各種政府組織和電信公司傳播。有效載荷使用 Windows 內(nèi)核模式 rootkit 來(lái)促進(jìn)其某些活動(dòng),,并且能夠通過(guò) MBR 或 UEFI bootkit進(jìn)行持久部署,。有趣的是,在這次攻擊中觀察到的一些組件以前曾多次由Slingshot代理在內(nèi)存中部署,,其中 Slingshot 是研究人員過(guò)去在幾個(gè)案例中介紹過(guò)的后開(kāi)發(fā)框架(不要與“Slingshot”APT混淆),。它是一個(gè)專(zhuān)有的商業(yè)滲透測(cè)試工具。然而,,這并不是攻擊者第一次利用它,。研究人員之前在 2019 年發(fā)布的一份關(guān)于 FruityArmor 活動(dòng)的報(bào)告顯示,攻擊組織利用它來(lái)針對(duì)中東多個(gè)行業(yè)的組織,,可能是利用 Skype 中的漏洞作為感染媒介,。在最近的一份報(bào)告中,研究人員對(duì)新發(fā)現(xiàn)的惡意工具包進(jìn)行了深入分析,,該工具包是研究人員與 Slingshot 一起觀察到的,,以及它如何在野外活動(dòng)集群中被利用,研究人員還特別介紹了一些高級(jí)功能,。

  總結(jié)

  雖然一些攻擊者的 TTP 會(huì)在短時(shí)間內(nèi)保持一致,,嚴(yán)重依賴(lài)社會(huì)工程作為在目標(biāo)組織中立足或破壞個(gè)人設(shè)備的一種手段,,但其他人則更新了他們的工具集并擴(kuò)展了他們的活動(dòng)范圍。

  以下是研究人員在 2021 年第三季度看到的主要趨勢(shì):

  1.供應(yīng)鏈攻擊繼續(xù)存在,,包括 SmudgeX,、DarkHalo 和 Lazarus 的攻擊。

  2.在本季度,,研究人員專(zhuān)注于研究和防護(hù)他們檢測(cè)到的惡意活動(dòng)后的監(jiān)視框架,。其中包括 FinSpy 以及使用稱(chēng)為 Slingshot 的商業(yè)后開(kāi)發(fā)框架上演的高級(jí)且功能強(qiáng)大的有效載荷。這些工具包含強(qiáng)大的隱蔽功能,,例如使用bootkit進(jìn)行持久化,。Bootkit 仍然是一些備受矚目的 APT 攻擊的活躍組件,盡管微軟已經(jīng)添加了各種緩解措施,,使它們?cè)?Windows 操作系統(tǒng)上部署起來(lái)更加容易,。

  3.社會(huì)工程學(xué)仍然是發(fā)起攻擊的關(guān)鍵方法,,;還有漏洞利用(CloudComputating,、Origami Elephant、Andariel),,包括利用固件漏洞,。

  4.正如各種攻擊者(包括 Gamaredon、CloudComputating,、ExCone,、Origami Elephant、ReconHellcat,、SharpPanda)的活動(dòng)所表明的那樣,,地緣政治繼續(xù)推動(dòng) APT 的發(fā)展。




電子技術(shù)圖片.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點(diǎn)。轉(zhuǎn)載的所有的文章,、圖片,、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無(wú)法一一聯(lián)系確認(rèn)版權(quán)者,。如涉及作品內(nèi)容,、版權(quán)和其它問(wèn)題,請(qǐng)及時(shí)通過(guò)電子郵件或電話(huà)通知我們,,以便迅速采取適當(dāng)措施,,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話(huà):010-82306118,;郵箱:[email protected],。