《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > 2021年第三季度APT趨勢(shì)報(bào)告(下)

2021年第三季度APT趨勢(shì)報(bào)告(下)

2021-11-03
來源:嘶吼專業(yè)版
關(guān)鍵詞: APT

  中東地區(qū)的APT攻擊情況

  Lyceum 是一個(gè)攻擊組織,至少自 2018 年以來一直在針對(duì)中東的知名目標(biāo)發(fā)起攻擊。今年,研究人員發(fā)現(xiàn)了該組織針對(duì)突尼斯航空和電信部門的攻擊活動(dòng)。他們發(fā)現(xiàn),攻擊者在開發(fā)兩個(gè)新的基于 C++ 的惡意軟件植入時(shí)表現(xiàn)的更加有活力其攻擊速度快捷,研究人員將它們命名為 Kevin 和 James。兩者都依賴于該組織使用的舊惡意軟件的技術(shù)和通信協(xié)議,并開發(fā)了 DanBot。在研究人員對(duì)這一活動(dòng)的報(bào)告以及針對(duì)該組織新發(fā)現(xiàn)的植入程序的相應(yīng)保護(hù)部署之后,研究人員觀察到攻擊者反復(fù)嘗試部署他們之前的報(bào)告中未指定的新樣本。其中一些樣本表明,攻擊者還利用了兩個(gè)新的 C2 域,這可能是為了繞過安全機(jī)制,從而緩解與已知域的通信。這種體現(xiàn)了該組織堅(jiān)持攻擊目標(biāo)組織,并表明它在被發(fā)現(xiàn)后并沒有停止運(yùn)作的事實(shí),這一事實(shí)可以通過該組織最近公開曝光的另一組活動(dòng)得到認(rèn)證。你可以在“Lyceum group reborn”文章中詳細(xì)了解研究人員的發(fā)現(xiàn)。

  東南亞及朝鮮半島的APT攻擊情況

  6 月,研究人員觀察到 Lazarus 組織使用 MATA 惡意軟件框架攻擊國(guó)防企業(yè)。從歷史上看,Lazarus 使用 MATA 攻擊各個(gè)行業(yè),以實(shí)現(xiàn)類似網(wǎng)絡(luò)犯罪的意圖:竊取客戶數(shù)據(jù)庫和傳播勒索軟件。然而,在該案例中,研究人員看到 Lazarus 使用 MATA 進(jìn)行網(wǎng)絡(luò)間諜活動(dòng)。攻擊者提供了一個(gè)已知被他們選擇的受害者使用的應(yīng)用程序的木馬化版本,代表了 Lazarus 的已知特征。執(zhí)行此應(yīng)用程序會(huì)啟動(dòng)一個(gè)從下載程序開始的多階段感染鏈。該下載程序從受感染的 C2 服務(wù)器中獲取額外的惡意軟件。研究人員能夠獲得多個(gè) MATA 組件,包括插件。與之前的版本相比,此次活動(dòng)中發(fā)現(xiàn)的 MATA 惡意軟件已經(jīng)迭代了多次,并使用盜竊的合法證書對(duì)其某些組件進(jìn)行簽名。通過這項(xiàng)研究,研究人員發(fā)現(xiàn) MATA 和 Lazarus 組織之間的聯(lián)系更緊密,包括獲取MATA惡意軟件的下載程序顯示了與TangoDaiwbo的聯(lián)系,而研究人員之前認(rèn)為TangoDaiwbo是Lazarus組織開發(fā)的。

  研究人員還發(fā)現(xiàn)了使用更新的 DeathNote 集群的 Lazarus 團(tuán)體活動(dòng)。第一次涉及 6 月份對(duì)一家韓國(guó)智庫的攻擊。第二次是 5 月份對(duì) IT 資產(chǎn)監(jiān)控解決方案供應(yīng)商的攻擊。研究人員的調(diào)查揭示了指向 Lazarus 建立供應(yīng)鏈攻擊能力的跡象。在一個(gè)案例中,研究人員發(fā)現(xiàn)感染鏈源于合法的韓國(guó)安全軟件執(zhí)行惡意載荷;在第二個(gè)案例中,攻擊目標(biāo)是一家在拉脫維亞開發(fā)資產(chǎn)監(jiān)控解決方案的公司,該公司是 Lazarus 的非典型受害者。DeathNote 惡意軟件集群包含一個(gè)稍微更新的 BLINDINGCAN 變體,這是美國(guó) CISA(網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局)先前報(bào)告的惡意軟件。BLINDINGCAN 還被用于提供 COPPERHEDGE 的新變體,CISA 文章中也有報(bào)道。研究人員之前曾在 2020 年 1 月報(bào)告了對(duì) COPPERHEDGE 的初步發(fā)現(xiàn)。作為感染鏈的一部分,Lazarus 使用了一個(gè)名為 Racket 的下載程序,他們使用竊取的證書簽名。由于使用本地 CERT 接管了攻擊者的基礎(chǔ)設(shè)施,研究人員有機(jī)會(huì)研究與 DeathNote 集群相關(guān)的幾個(gè) C2 腳本。該攻擊者破壞了易受攻擊的 Web 服務(wù)器并上傳了幾個(gè)腳本來過濾和控制成功入侵的受害者設(shè)備上的惡意植入。

  Kimsuky 組織是目前最活躍的 APT 組織之一,攻擊者以專注于網(wǎng)絡(luò)間諜活動(dòng)而聞名,但偶爾會(huì)為了經(jīng)濟(jì)利益而進(jìn)行網(wǎng)絡(luò)攻擊。與其他 APT 組織一樣,Kimsuky 包含幾個(gè)集群:BabyShark、AppleSeed、FlowerPower 和 GoldDragon。

  每個(gè)集群使用不同的方法并具有不同的特征:

  ?BabyShark 在 C2 操作中嚴(yán)重依賴腳本化惡意軟件和受感染的 Web 服務(wù)器;

  ?AppleSeed 使用名為 AppleSeed 的獨(dú)特后門;

  ?FlowerPower 使用 PowerShell 腳本和惡意的 Microsoft Office 文檔;

  ?GoldDragon 是最古老的集群,最接近原始的 Kimsuky 惡意軟件。

  然而,這些集群也顯示出一些重疊。特別是,GoldDragon 和 FlowerPower 在其 C2 基礎(chǔ)設(shè)施中共享強(qiáng)大的連接。但是,其他集群也與 C2 基礎(chǔ)設(shè)施有少量連接,這說明BabyShark 和 AppleSeed 的運(yùn)營(yíng)策略不同。

  早在 5 月,研究人員就發(fā)表了一份關(guān)于新發(fā)現(xiàn)的Andariel活動(dòng)的報(bào)告。在此活動(dòng)中,位于韓國(guó)的眾多企業(yè)都成為自定義勒索軟件的目標(biāo)。在研究人員的研究中,研究人員發(fā)現(xiàn)攻擊者使用兩個(gè)向量來破壞目標(biāo)。第一個(gè)是使用帶有惡意宏的武器化 Microsoft Office 文檔。在研究人員最初報(bào)告時(shí),第二個(gè)向量仍然未知,但研究人員發(fā)現(xiàn)了包含工具 ezPDF Reader 路徑的工件,該工具由一家名為 Unidocs 的韓國(guó)軟件公司開發(fā)。由于研究人員缺少明確的證據(jù)表明攻擊利用了該軟件中的漏洞,為了解決這個(gè)問題,研究人員決定審核該應(yīng)用程序的二進(jìn)制文件。研究人員對(duì)該軟件的分析使研究人員發(fā)現(xiàn)了 ezpdfwslauncher.exe 中的一個(gè)遠(yuǎn)程代碼執(zhí)行漏洞,可以利用該漏洞在沒有任何用戶交互的情況下,利用ezpdfwslauncher.exe入侵網(wǎng)絡(luò)上的計(jì)算機(jī)。研究人員非常自信地評(píng)估 Andariel 組織在其攻擊中使用了相同的漏洞。在此發(fā)現(xiàn)后,研究人員聯(lián)系了 Unidocs 的開發(fā)人員,并與他們分享了此漏洞的詳細(xì)信息。目前,該漏洞已經(jīng)被命名為 CVE-2021-26605,并進(jìn)行了修復(fù)。

  本季度,研究人員描述了與 Origami Elephant 攻擊者(又名 DoNot 團(tuán)隊(duì),APT-C-35,SECTOR02)相關(guān)的活動(dòng),這些活動(dòng)從 2020 年初一直持續(xù)到今年。雖然Origami Elephant 繼續(xù)利用已知的 Backconfig(又名 Agent K1)和 Simple Uploader 組件,但研究人員也發(fā)現(xiàn)了名為 VTYREI(又名 BREEZESUGAR)的鮮為人知的惡意軟件用作第一階段的有效載荷。此外,研究人員觀察到了一種獨(dú)特的技術(shù),可以對(duì)惡意文檔中使用的遠(yuǎn)程模板進(jìn)行編碼,目前他們還沒有看到其他攻擊者使用過這種技術(shù)。攻擊者繼續(xù)關(guān)注南亞地區(qū),對(duì)主要位于巴基斯坦、孟加拉國(guó)、尼泊爾和斯里蘭卡的政府和軍事對(duì)象。

  研究人員還跟蹤了從 2020 年底到報(bào)告發(fā)布期間針對(duì) Android 手機(jī)的 Origami Elephant 活動(dòng)。研究人員發(fā)現(xiàn)基礎(chǔ)設(shè)施仍然處于活躍狀態(tài),與之前報(bào)告的相同惡意軟件進(jìn)行通信,盡管在代碼混淆方面有一些變化。目標(biāo)與去年相同,受害者位于南亞地區(qū):尤其是印度、巴基斯坦和斯里蘭卡。與去年的攻擊活動(dòng)相比,攻擊者修改了感染鏈。研究人員觀察到 Android木馬是直接傳播的,而不是提供下載程序 stager。這是通過指向惡意登錄頁面的鏈接或通過某些即時(shí)消息平臺(tái)(例如 WhatsApp)直接發(fā)送消息來完成的。研究人員分析的樣本模仿了各種應(yīng)用程序,例如私人消息傳遞、VPN 和媒體服務(wù)。研究人員的報(bào)告涵蓋了 Origami Elephant 針對(duì) Android 設(shè)備的活動(dòng)的當(dāng)前狀態(tài),并提供了與最新和歷史活動(dòng)相關(guān)的額外 IoC。使用研究人員之前研究中的可用線索掃描互聯(lián)網(wǎng),研究人員能夠發(fā)現(xiàn)新部署的主機(jī),在某些情況下甚至在它們變得活躍之前。

  其他有趣的發(fā)現(xiàn)

  9 月,研究人員提供了 FinSpy PC 植入程序的概述。這不僅包括Windows版本,也包括Linux和macOS版本,它們共享相同的內(nèi)部結(jié)構(gòu)和功能。FinSpy是一種臭名昭著的監(jiān)視工具,一些非政府組織多次報(bào)告說它被用來對(duì)付記者、政治異議人士和人權(quán)活動(dòng)家。歷史上,它的 Windows 植入是由單階段間諜軟件安裝程序表示的。直到 2018 年,此版本已被多次檢測(cè)和研究。從那時(shí)起,研究人員觀察到 FinSpy for Windows 的檢測(cè)率下降。雖然這種異常的性質(zhì)仍然未知,但研究人員開始檢測(cè)一些帶有 Metasploit stagers 后門的可疑安裝程序包。直到 2019 年年中,當(dāng)研究人員在適用于 Android 的 FinSpy Mobile 植入程序中找到為這些安裝程序提供服務(wù)的主機(jī)時(shí),研究人員才能夠確定這些軟件包的屬性。在研究人員的調(diào)查過程中,他們發(fā)現(xiàn)后門安裝程序只不過是第一階段的植入程序,用于在實(shí)際的 FinSpy 特洛伊木馬之前下載和部署更多有效載荷。除了木馬安裝程序之外,研究人員還觀察到涉及使用 UEFI 或 MBR bootkit的感染。雖然 MBR 感染至少在 2014 年就已為人所知,但 UEFI bootkit 的詳細(xì)信息僅在研究人員的文章中首次被公開披露。在此分享一些關(guān)于 FinSpy 植入程序?qū)嶋H狀態(tài)的未知發(fā)現(xiàn)。

  在第三季度末,研究人員發(fā)現(xiàn)了一個(gè)以前未知的具有高級(jí)功能的有效載荷,它使用兩個(gè)感染鏈向中東的各種政府組織和電信公司傳播。有效載荷使用 Windows 內(nèi)核模式 rootkit 來促進(jìn)其某些活動(dòng),并且能夠通過 MBR 或 UEFI bootkit進(jìn)行持久部署。有趣的是,在這次攻擊中觀察到的一些組件以前曾多次由Slingshot代理在內(nèi)存中部署,其中 Slingshot 是研究人員過去在幾個(gè)案例中介紹過的后開發(fā)框架(不要與“Slingshot”APT混淆)。它是一個(gè)專有的商業(yè)滲透測(cè)試工具。然而,這并不是攻擊者第一次利用它。研究人員之前在 2019 年發(fā)布的一份關(guān)于 FruityArmor 活動(dòng)的報(bào)告顯示,攻擊組織利用它來針對(duì)中東多個(gè)行業(yè)的組織,可能是利用 Skype 中的漏洞作為感染媒介。在最近的一份報(bào)告中,研究人員對(duì)新發(fā)現(xiàn)的惡意工具包進(jìn)行了深入分析,該工具包是研究人員與 Slingshot 一起觀察到的,以及它如何在野外活動(dòng)集群中被利用,研究人員還特別介紹了一些高級(jí)功能。

  總結(jié)

  雖然一些攻擊者的 TTP 會(huì)在短時(shí)間內(nèi)保持一致,嚴(yán)重依賴社會(huì)工程作為在目標(biāo)組織中立足或破壞個(gè)人設(shè)備的一種手段,但其他人則更新了他們的工具集并擴(kuò)展了他們的活動(dòng)范圍。

  以下是研究人員在 2021 年第三季度看到的主要趨勢(shì):

  1.供應(yīng)鏈攻擊繼續(xù)存在,包括 SmudgeX、DarkHalo 和 Lazarus 的攻擊。

  2.在本季度,研究人員專注于研究和防護(hù)他們檢測(cè)到的惡意活動(dòng)后的監(jiān)視框架。其中包括 FinSpy 以及使用稱為 Slingshot 的商業(yè)后開發(fā)框架上演的高級(jí)且功能強(qiáng)大的有效載荷。這些工具包含強(qiáng)大的隱蔽功能,例如使用bootkit進(jìn)行持久化。Bootkit 仍然是一些備受矚目的 APT 攻擊的活躍組件,盡管微軟已經(jīng)添加了各種緩解措施,使它們?cè)?Windows 操作系統(tǒng)上部署起來更加容易。

  3.社會(huì)工程學(xué)仍然是發(fā)起攻擊的關(guān)鍵方法,;還有漏洞利用(CloudComputating、Origami Elephant、Andariel),包括利用固件漏洞。

  4.正如各種攻擊者(包括 Gamaredon、CloudComputating、ExCone、Origami Elephant、ReconHellcat、SharpPanda)的活動(dòng)所表明的那樣,地緣政治繼續(xù)推動(dòng) APT 的發(fā)展。




電子技術(shù)圖片.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點(diǎn)。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容、版權(quán)和其它問題,請(qǐng)及時(shí)通過電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。