《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > 卡巴斯基發(fā)布2021年三季度高級(jí)持續(xù)威脅趨勢(shì)報(bào)告

卡巴斯基發(fā)布2021年三季度高級(jí)持續(xù)威脅趨勢(shì)報(bào)告

2021-11-04
來(lái)源:祺印說(shuō)信安
關(guān)鍵詞: 威脅 報(bào)告

  近年來(lái),卡巴斯基全球研究與分析團(tuán)隊(duì)(GReAT) 一直定期發(fā)布高級(jí)持續(xù)威脅 (APT) 趨勢(shì)報(bào)告。限于篇幅,,我們優(yōu)先編譯了2021年第三季度報(bào)告的部分重要內(nèi)容以饗讀者,。欲了解該報(bào)告全文,請(qǐng)按照文末提示方式獲取。摘編原文如下:

  最顯著的發(fā)現(xiàn)

  2020年12月被廣為報(bào)道的SolarWinds事件之所以備受關(guān)注,是因?yàn)楣粽邩O其謹(jǐn)慎,而且受害者的身份引人矚目,。有證據(jù)表明,發(fā)動(dòng)攻擊的威脅組織DarkHalo(又名 Nobelium)已經(jīng)在OrionIT的網(wǎng)絡(luò)中潛伏了6個(gè)月時(shí)間來(lái)完善他們的攻擊。今年6月,,在DarkHalo停止活動(dòng)6個(gè)多月后,,卡巴斯基觀察到一個(gè)獨(dú)聯(lián)體成員國(guó)的多個(gè)政府區(qū)域遭到DNS劫持,這使得攻擊者能夠?qū)⒘髁繌恼]件服務(wù)器重定向到他們控制的計(jì)算機(jī)---很可能是通過(guò)獲得受害者登記員控制面板的憑證來(lái)實(shí)現(xiàn)的,。當(dāng)受害者試圖訪問(wèn)他們的公司郵件時(shí),,會(huì)被重定向到一個(gè)偽造的網(wǎng)絡(luò)界面副本。之后,,受害者被誘騙下載了以前未知的惡意軟件,。這個(gè)后門被稱為Tomiris,與DarkHalo去年使用的第二階段惡意軟件SunShuft(又名GoldMax)有許多相似之處,。不過(guò),,Tomiris和Kazuar后門程序之間也存在許多相似之處,這是一個(gè)與Turla APT威脅組織相關(guān)聯(lián)的后門,。上述這些相似之處并不足以說(shuō)明Tomiris和Sunshuttle后門程序之間有高度關(guān)聯(lián)性,,但是綜合來(lái)看,這兩個(gè)后門程序或許有共同的開發(fā)者,,或者共享開發(fā)代碼,。

  俄語(yǔ)地區(qū)APT攻擊趨勢(shì)分析

  本季度,研究人員發(fā)現(xiàn)了幾個(gè)典型的Gamaredon 惡意感染文件,、dropper和植入程序,這表明針對(duì)烏克蘭政府的惡意活動(dòng)或許正在進(jìn)行,,甚至可能從今年5月份開始惡意活動(dòng)就很活躍,。目前研究人員還無(wú)法準(zhǔn)確識(shí)別相關(guān)的感染鏈,因?yàn)樗麄冎荒軝z索到其中的一部分樣本,,但這并不影響研究人員將其歸因于Gamaredon,。本文詳細(xì)介紹了各種dropper以及解碼器腳本,以及對(duì)DStealer后門和研究人員觀察到的與該活動(dòng)相關(guān)的大型基礎(chǔ)設(shè)施的分析,。

  ReconHellcat是一個(gè)之前鮮為人知的攻擊者,,于2020年被發(fā)現(xiàn)并公布。其活動(dòng)的第一個(gè)帳戶可以追溯到去年3月,,MalwareHunterTeam發(fā)布的一條推文中介紹了包含與COVID相關(guān)的誘餌文件名的檔案,,其中包含一個(gè)惡意的可執(zhí)行文件。這個(gè)檔案中的惡意植入程序名為BlackWater,。BlackWater反過(guò)來(lái)會(huì)釋放并打開一個(gè)誘餌文件,,然后作為C2服務(wù)器聯(lián)系Cloudflare Workers,這是其他攻擊者在使用時(shí)通常不會(huì)使用的方法,。自從首次發(fā)現(xiàn)這種攻擊方式以來(lái),,類似的TTP已被用作QuoIntelligence涵蓋的其他攻擊的一部分,這表明潛在攻擊者正在以有針對(duì)性的方式運(yùn)作,,同時(shí)追蹤與政府相關(guān)的知名目標(biāo),。這種活動(dòng)似乎一直持續(xù)到2021年,,當(dāng)時(shí)研究人員發(fā)現(xiàn)了一系列使用相同技術(shù)和惡意軟件的攻擊,其目的是在位于中亞的外交組織中潛伏下來(lái),。在撰寫的私人報(bào)告中,,研究人員介紹了這項(xiàng)活動(dòng),重點(diǎn)關(guān)注攻擊者對(duì)感染鏈中的要素所做的各種變化,,這可能是由于之前公開曝光其活動(dòng)造成的,。

  從那時(shí)起,研究人員發(fā)現(xiàn)了由ReconHellcat操作的其他文件,。今年8月到9月間出現(xiàn)了一個(gè)新的活動(dòng),,其感染鏈不斷發(fā)展。Zscaler的研究人員也在一篇文章中介紹了這項(xiàng)活動(dòng),。更新后的攻擊活動(dòng)中引入的一些變化包括依賴 Microsoft Word模板(,。dotm)來(lái)實(shí)現(xiàn)持久性,而不是以前使用的Microsoft Word加載項(xiàng)(,。wll),。盡管如此,一些TTP保持不變,,因?yàn)樾碌母腥炬溔匀惶峁┫嗤淖罱K植入程序---Blacksoul惡意軟件,,并且仍然使用Cloudflare Workers作為C2服務(wù)器。ReconHellcat的目標(biāo)是塔吉克斯坦,、吉爾吉斯斯坦,、巴基斯坦和土庫(kù)曼斯坦等中亞國(guó)家相關(guān)的政府組織和外交實(shí)體。此外,,卡巴斯基的研究人員還確定了在前一波攻擊中沒有出現(xiàn)的兩個(gè)國(guó)家:阿富汗和烏茲別克斯坦,。因此卡巴斯基判斷ReconHellcat可能是是使用俄語(yǔ)的威脅組織。

  東南亞及朝鮮半島地區(qū)APT攻擊趨勢(shì)分析

  今年6月,,卡巴斯基觀察到Lazarus威脅組織使用MATA惡意軟件框架攻擊國(guó)防工業(yè),。過(guò)去,Lazarus曾經(jīng)使用MATA攻擊各個(gè)行業(yè)以實(shí)現(xiàn)類似網(wǎng)絡(luò)犯罪的意圖:竊取客戶數(shù)據(jù)庫(kù)和傳播勒索軟件,。然而,,在此次事件中,卡巴斯基發(fā)現(xiàn)Lazarus使用MATA進(jìn)行網(wǎng)絡(luò)間諜活動(dòng),。攻擊者提供了一個(gè)已知被他們選中的受害者使用的應(yīng)用程序的木馬化版本,,這代表了Lazarus組織的已知特征。執(zhí)行此應(yīng)用程序會(huì)啟動(dòng)一個(gè)從下載程序開始的多階段感染鏈,。該下載器從受感染的C2服務(wù)器中獲取額外的惡意軟件,。卡巴斯基曾獲取了多個(gè)MATA組件以及插件。在此活動(dòng)中發(fā)現(xiàn)的MATA惡意軟件與以前的版本相比有所進(jìn)化,,并使用合法的被盜證書以簽署其某些組件,。通過(guò)這項(xiàng)研究,卡巴斯基發(fā)現(xiàn)了MATA和Lazarus集團(tuán)之間更緊密的聯(lián)系,。

  卡巴斯基還發(fā)現(xiàn)了使用更新后的DeathNote集群的Lazarus組織活動(dòng),。這些活動(dòng)涉及今年6月份對(duì)韓國(guó)智庫(kù)的襲擊,以及5月份對(duì)IT資產(chǎn)監(jiān)控解決方案供應(yīng)商的攻擊,??ò退够恼{(diào)查顯示,有跡象表明Lazarus正在建立供應(yīng)鏈攻擊能力,。在第一個(gè)案例中,,卡巴斯基發(fā)現(xiàn)感染鏈源于合法的韓國(guó)安全軟件執(zhí)行惡意載荷;在第二個(gè)案例中,,攻擊目標(biāo)是一家在拉脫維亞開發(fā)資產(chǎn)監(jiān)控解決方案的公司,,該公司是Lazarus的非典型受害者。DeathNote惡意軟件集群包含一個(gè)部分更新的BLINDINGCAN變種,,這是美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)先前報(bào)告過(guò)的惡意軟件,。BLINDINGCAN還被用于分發(fā)COPPERHEDGE的新變種,這在CISA的一篇文章中也有提及,??ò退够霸?020年1月公布了其對(duì)COPPERHEDGE的初步發(fā)現(xiàn)。作為感染鏈的一部分,,Lazarus使用了一個(gè)名為Racket的下載器,,并使用竊取來(lái)的證書進(jìn)行簽名。由于使用本地CERT接管攻擊者的基礎(chǔ)設(shè)施,,卡巴斯基有機(jī)會(huì)研究與DeathNote集群相關(guān)的幾個(gè)C2腳本。該攻擊者破壞了易受攻擊的Web服務(wù)器并上傳了幾個(gè)腳本,,用于過(guò)濾和控制被入侵的受害者機(jī)器上的惡意植入程序,。

  Kimsuky集團(tuán)是目前最活躍的APT組織之一。該威脅組織以專注于網(wǎng)絡(luò)間諜活動(dòng)而聞名,,但偶爾也會(huì)進(jìn)行網(wǎng)絡(luò)攻擊以獲取經(jīng)濟(jì)利益,。與其他APT組織采取“報(bào)團(tuán)取暖”的方式一樣,Kimsuky也包含幾個(gè)集群:BabyShark,、AppleSeed,、FlowerPower和GoldDragon。

  每個(gè)集群采取不同的攻擊手法并具有不同的特征:

  BabyShark在C2操作中嚴(yán)重依賴腳本化惡意軟件和受感染的Web服務(wù)器,;AppleSeed使用名為AppleSeed的獨(dú)特后門,;FlowerPower使用PowerShell腳本和惡意的Microsoft Office文檔;GoldDragon是最古老的集群,最接近原始的Kimsuky惡意軟件,。

  但是,,這些集群也顯示出一些重疊。特別是GoldDragon和FlowerPower在其C2基礎(chǔ)設(shè)施中共享緊密的連接,。不過(guò),,其他集群也與C2基礎(chǔ)設(shè)施有部分連接??ò退够u(píng)估認(rèn)為BabyShark和AppleSeed的操作策略不同,。

  早在今年5月,卡巴斯基就發(fā)表了一份關(guān)于新發(fā)現(xiàn)的Andariel活動(dòng)的報(bào)告,。在該活動(dòng)中,,位于韓國(guó)的眾多行業(yè)都成為定制勒索軟件的目標(biāo)??ò退够芯堪l(fā)現(xiàn)攻擊者使用兩個(gè)載體來(lái)破壞目標(biāo),。第一個(gè)是使用帶有惡意宏的武器化Microsoft Office文檔。在卡巴斯基最初發(fā)布研究報(bào)告時(shí),,第二個(gè)載體仍然未知,,但卡巴斯基發(fā)現(xiàn)了包含工具ezPDF Reader路徑的工件,該工具由一家名為Unidocs的韓國(guó)軟件公司開發(fā),??ò退够鄙倜鞔_的證據(jù)表明攻擊利用了該軟件中的漏洞,為了解決這個(gè)謎團(tuán),,卡巴斯基決定審核該應(yīng)用程序的二進(jìn)制文件,。通過(guò)對(duì)該軟件進(jìn)行分析,卡巴斯基發(fā)現(xiàn)了ezpdfwslauncher.exe中的一個(gè)遠(yuǎn)程代碼執(zhí)行漏洞,,該漏洞可以利用ezPDF Reader入侵網(wǎng)絡(luò)上的計(jì)算機(jī),,而無(wú)需任何用戶交互??ò退够浅W孕诺卣J(rèn)為Andariel組織在其攻擊中使用了相同的漏洞,。在此發(fā)現(xiàn)后,卡巴斯基聯(lián)系了Unidocs的開發(fā)人員,,并與他們分享了此漏洞的詳細(xì)信息,。該漏洞被編號(hào)為CVE-2021-26605。

  本季度,,卡巴斯基介紹了與Origami Elephant威脅組織(又名DoNot組織,,APT-C-35,SECTOR02)相關(guān)的活動(dòng),,這些活動(dòng)從2020年初一直持續(xù)到今年,。Origami Elephant繼續(xù)利用已知的Backconfig(又名Agent K1)和Simple Uploader組件,,但卡巴斯基也發(fā)現(xiàn)了名為VTYREI(又名 BREEZESUGAR)的鮮為人知的惡意軟件用作第一階段的有效負(fù)載。此外,,卡巴斯基還發(fā)現(xiàn)了一種獨(dú)特的技術(shù),,利用這種技術(shù)可以對(duì)惡意文檔中使用的遠(yuǎn)程模板進(jìn)行編碼,在此之前卡巴斯基還沒有看到其他威脅組織使用過(guò)這種技術(shù),。該組織的目標(biāo)與過(guò)去一致:繼續(xù)關(guān)注南亞地區(qū),,對(duì)主要位于巴基斯坦、孟加拉國(guó),、尼泊爾和斯里蘭卡的政府和軍事實(shí)體特別感興趣,。

  卡巴斯基還跟蹤了從2020年底至本報(bào)告發(fā)布時(shí)針對(duì)Android手機(jī)的Origami Elephan活動(dòng)。之前卡巴斯基也對(duì)該活動(dòng)進(jìn)行了報(bào)告,??ò退够⒁獾剑A(chǔ)設(shè)施仍然處于活動(dòng)狀態(tài),,與卡巴斯基之前報(bào)告的相同惡意軟件進(jìn)行通信,,僅在代碼混淆方面有一些變化。攻擊目標(biāo)與去年相同,,受害者位于南亞地區(qū),,主要是印度、巴基斯坦和斯里蘭卡,。與去年的攻擊活動(dòng)相比,,該攻擊者修改了感染鏈??ò退够l(fā)現(xiàn)Android特洛伊木馬是直接分發(fā)的,,而不是通過(guò)下載程序stager。這是通過(guò)指向惡意登錄頁(yè)面的鏈接或通過(guò)某些即時(shí)消息平臺(tái)(如WhatsApp)直接發(fā)送消息來(lái)完成的,??ò退够治龅臉颖灸M了各種應(yīng)用程序,例如私密消息,、VPN以及媒體服務(wù),。卡巴斯基的報(bào)告涵蓋了Origami Elephant針對(duì)Android設(shè)備活動(dòng)的現(xiàn)狀,,并提供了與最新和過(guò)去的活動(dòng)相關(guān)的額外IoC。利用卡巴斯基之前的研究提供的線索掃描互聯(lián)網(wǎng),,能夠發(fā)現(xiàn)新部署的主機(jī),,在某些情況下,甚至在它們處于活躍狀態(tài)之前就能發(fā)現(xiàn),。

  寫在文末

  雖然一些威脅組織的TTP隨著時(shí)間的推移仍然保持一致,,嚴(yán)重依賴社會(huì)工程學(xué)作為其在目標(biāo)組織中潛伏下來(lái)或破壞個(gè)人設(shè)備的一種手段,,但也有其他組織更新了他們的工具集并擴(kuò)展了他們的活動(dòng)范圍??ò退够亩ㄆ诩径葘彶橹荚谕怀鯝PT組織的關(guān)鍵性發(fā)展變化,。

  以下是卡巴斯基在2021年第三季度發(fā)現(xiàn)的主要趨勢(shì):

  (一)繼續(xù)發(fā)現(xiàn)供應(yīng)鏈攻擊,,包括SmudgeX,、DarkHalo和Lazarus的攻擊。

 ?。ǘ┰诒炯径?,卡巴斯基專注于研究和拆除其檢測(cè)到的惡意活動(dòng)后的監(jiān)視框架。其中包括FinSpy和使用商業(yè)post-exploitation框架Slingshot暫存的高級(jí)且功能強(qiáng)大的有效載荷,。這些工具包含強(qiáng)大的隱蔽功能,,例如使用Bootkits進(jìn)行持久化。Bootkits仍然是一些備受矚目的APT攻擊的活躍組件,,盡管微軟已經(jīng)添加了各種緩解措施,,使它們?cè)赪indows操作系統(tǒng)上的部署變得不那么容易。

 ?。ㄈ┛ò退够^察到,,本季度來(lái)自使用中文的威脅組織的活動(dòng)異常激增,尤其是與年初相比,。相比之下,,卡巴斯基注意到,本季度中東的活動(dòng)有所減少,。

 ?。ㄋ模┥鐣?huì)工程學(xué)仍然是發(fā)起攻擊的關(guān)鍵方法;但也有漏洞利用(CloudComputating,、Origami Elephant,、Andariel),包括利用固件漏洞,。

 ?。ㄎ澹└鞣N威脅組織(例如Gamaredon、CloudComputating,、ExCone,、Origami Elephant、ReconHellcat,、SharpPanda)的活動(dòng)表明,,地緣政治繼續(xù)推動(dòng)APT的發(fā)展。




電子技術(shù)圖片.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點(diǎn),。轉(zhuǎn)載的所有的文章、圖片,、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無(wú)法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容,、版權(quán)和其它問(wèn)題,,請(qǐng)及時(shí)通過(guò)電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,,避免給雙方造成不必要的經(jīng)濟(jì)損失,。聯(lián)系電話:010-82306118;郵箱:[email protected],。