卡巴斯基全球研究与分析团队(GReAT)四年来一直在关注并发布高级持续攻击(APT)活动的季度报告。这些报告基于研究人员的持续攻击情报分析。本文将对相关发现进行更加细致细致的研究。APT攻击趋势分析去年12月,知名IT托管服务商SolarWinds遭受了一次复杂的供应链攻击。该公司的OrionIT是一种用于监控和管理客户IT基础架构的解决方案,遭到攻击。这导致在北美、欧洲、中东和亚洲的18,000多个SolarWinds客户网络中部署了一个名为Sunburst的自定义后门,其中包括许多大公司和政府机构。在他们关于Sunburst的初步报告中,研究人员仔细检查了恶意程序用来与其C2(命令和控制)服务器通信的方法,以及它用来升级对受害者的攻击以进一步利用的方法。对Sunburst后门的进一步调查显示,它与之前发现的后门Kazuar存在一些功能重叠,后者于2017年首次被发现,据信与TurlaAPT组织有关。Sunburst和Kazuar之间的共同特征包括受害者UID生成算法、算法中的代码相似性以及FNV1a散列被广泛用于混淆字符串比较的能力。有几种可能性:Sunburst可能与Kazuar由同一个团队开发,或者Sunburst的开发人员可能采用了Kazuar的一些想法或代码,或者两个团队都从同一来源获得了恶意程序,或者一些Kazuar开发人员合并了携带-过多的经验和知识被转移到另一个开发团队,或者Sunburst开发人员将这些链接作为虚假标志引入。下面将做进一步的分析。3月2日,Microsoft报告了一次名为HAFNIUM的APT攻击,该攻击利用ExchangeServer中的四个零日漏洞进行所谓的“有限且有针对性的攻击”。当时,微软声称除了HAFNIUM之外,其他攻击组织也在利用它们发起攻击。同时,Volexity也在2021年初报告了同一个Exchange零日漏洞的利用。根据Volexity的跟踪分析,除了微软报告的HAFNIUM外,还有消息称,一些攻击组织正在共享一些正在使用的漏洞.卡巴斯基跟踪技术显示,在微软公开披露并修补该漏洞后,针对这些漏洞的攻击尝试激增。在3月的第一周,研究人员确定了大约1,400台目标服务器,其中使用了一个或多个漏洞来获得初始访问权限。在发布这份报告之前,研究人员于2月28日在不到12个Exchange系统上发现了相关漏洞;研究人员还发现了十多个伪造的Exchange文件,表明这些文件已被攻击组织上传到多个扫描服务。根据研究人员的追踪,大多数利用服务器的尝试都发生在欧洲和美国。其中一些服务器遭到不同攻击组(基于命令执行模式)的多次攻击,表明这些漏洞现在可以被多个组利用。自3月中旬以来,研究人员还发现了一项针对俄罗斯联邦政府的活动,该活动使用了上述Exchange零日漏洞。该活动利用了一个以前未知的恶意程序系列,研究人员将其称为FourteenHi。进一步调查显示该恶意软件变体的活动痕迹可追溯到一年前,研究人员还发现这些与HAFNIUM相关的活动是根据基础设施和TTP以及在同一时间段内使用ShadowPad恶意软件设置的。是一些重叠。欧洲APT攻击趋势分析在对FinFisher间谍软件工具进行例行分析期间,研究人员发现了针对最近FinFly网络部署的痕迹。特别是,研究人员发现了两台服务器,其中包含使用FinFlyWeb生成的Web应用程序。本质上,FinFlyWeb是一组工具和包,用于实现基于Web的利用服务器。它于2014年GammaGroup遭到黑客攻击后首次公开。其中一个可疑的FinFlyWeb服务器在2019年10月至2020年12月期间活跃了一年多。该服务器在去年12月研究人员发现它后的第二天就被禁用了。尽管如此,研究人员还是能够捕获其登录页面的副本,其中包括用于使用以前未知的代码描述受害者的JavaScript。在第二种情况下,托管FinFlyWeb的服务器在发现时处于离线状态,因此研究人员使用可用的历史数据得出了结论。事实证明,它在2020年9月左右的短时间内在一个似乎在冒充流行的Mail.ru服务的主机上活跃。令人惊讶的是,服务器在1月12日再次开始响应查询。到目前为止,研究人员还没有看到这些页面丢弃任何相关的有效负载。俄语地区APT攻击趋势分析Kazuar是一个.NET后门,通常与Turla攻击组(又名Snake和Uroboros)相关联。最近,由于与Sunburst后门的相似性,Kazuar重新受到关注。虽然Kazuar的功能已经多次公开,但很多对后门的深入研究并没有公开。研究人员的最新报告侧重于攻击组织对9月和11月版本的后门所做的更改。2月24日,乌克兰国家安全与国防委员会(NSDC)公开警告称,攻击组织利用国家文件传播系统(SEIEB)向乌克兰公共当局分发恶意文件。该警报包含一些相关的网络IoC,并指定特定文档使用恶意宏将植入程序传播到目标系统。由于共享IoC,研究人员能够高度确定地将攻击归因于Gamaredon组。自2月以来,卡巴斯基一直将NSDC提到的恶意服务器IP称为Gamaredon基础设施。1月27日,法国国家网络安全局(ANSSI)发布了一份报告,描述了2017年至2020年间针对公开暴露和过时的Centreon系统的攻击活动,以部署Fobushell(又名P.A.S.)webshel??l和Exaramel植入程序。ANSSI将该活动与Sandworm攻击集相关联,研究人员将其称为Hades。尽管研究人员专门寻找其他受损的Centreon系统、Exaramel植入物样本或相关基础设施,但他们无法检索到任何有用的痕迹,因此无法进行全面调查。然而,研究人员确实确定了部署了Fobusshellwebshel??l的三台Centreon服务器。其中一个Fobushell样本与研究人员之前在ZebrocyC2服务器上发现的另一个样本相同。华语地区APT攻击趋势分析2020年6月以来,研究人员发现了一系列恶意活动,研究人员将其命名为EdwardsPheasant,主要针对越南政府机构。该攻击组利用了以前未知且晦涩的后门程序和加载程序。活动在2020年11月达到顶峰,但仍在进行中。相关攻击组织继续利用他们的工具和策略来攻击目标或维护其网络内的访问权限。虽然研究人员可以识别出与Cycldek(又名GoblinPanda)和LuckyMouse(又名EmissaryPanda)相关的工具和策略的相似之处,但他们无法将此活动归因于两者中的任何一个。研究人员调查了一项名为A41APT的长期间谍活动,该活动自2019年3月以来一直活跃,针对包括日本制造业及其海外基地在内的多个行业。攻击组织利用SSL-VPN产品中的漏洞部署已知的多层加载程序作为Ecipekac(又名DESLoader、SigLoader和HEAVYHAND)。研究人员将此活动与APT10联系起来。这个加载器部署的大部分被发现的有效载荷都是无文件的,以前从未见过。研究人员观察了SodaMaster(又名DelfsCake、dfls和DARKTOWN)、P8RAT(又名GreetCake和HEAVYPOT)和FYAnti(又名DILLJUICEStage2),它们依次加载了QuasarRAT。2020年11月和12月,研究人员发布了两篇关于该活动的博客。一个月后,研究人员观察到攻击组织的新活动,其中包括他们的一些植入物的更新版本,这些植入物旨在逃避安全产品并使研究人员更难进行分析。中东地区APT攻击趋势分析近日,研究人员遇到了一个此前未知的恶意工具集,据信来自Lyceum/Hexane攻击组,表明其背后的攻击组依然活跃,并在过去一年阶段一直在开发升级。虽然Lyceum仍然更喜欢利用DNS隧道,但它似乎已经用新的C++后门和执行相同操作的PowerShell脚本替换了之前记录的.NET有效负载。研究人员的追踪显示,该组织最近的攻击集中在突尼斯的各个领域。研究人员观察到的受害者均为突尼斯知名机构,如电信或航空公司。基于目标行业,研究人员假设攻击团体可能有兴趣攻击这些对象,以跟踪他们感兴趣的个人的活动和通信。这可能意味着最新的Lyceum组织正专注于针对突尼斯的行动,或者它是尚未确定的更广泛行动的分支。2020年11月19日,ShadowChaserGroup在推特上发布了一份可疑的MuddyWaterAPT恶意文件,该文件可能针对阿拉伯联合酋长国的一所大学。根据此后的分析,研究人员怀疑这次攻击至少是从2020年10月上旬开始到2020年12月下旬才停止的活动的一部分。攻击者依靠基于VBS的恶意程序感染政府、非政府组织和教育部门。然而,研究人员的追踪表明,攻击组织没有部署其他工具,他们不认为发生了数据泄露。据研究人员分析,此次攻击目前处于筹备运行阶段,研究人员预计不久的将来还会有一波又一波的攻击接踵而至。在研究人员的报告中,他们对攻击组织使用的恶意文档进行了深入分析,并检查了它们与已知MuddyWater工具的相似之处,尤其是基础设施设置和通信方案也与之前的相似。攻击者正在追踪和分析第一阶段的C2服务器,以便在从VBS植入程序返回用于初始通信的连接之前对其进行分析。研究发现,在初步侦察后,攻击组将植入程序的通信传播到第二阶段C2以进行额外下载。最后,研究人员分析了该工具与MuddyWater小组开发的已知TTP的相似之处。MuddyWater组织被认为是来自伊朗的APT组织,自2017年开始活跃,目标国家包括伊拉克、约旦、土耳其、黎巴嫩等中东国家,政治意图明显。目标行业包括政府机构、电信、能源和高科技行业。DomesticKitten是一个主要以其移动后门而闻名的攻击组织,其行动于2018年曝光,表明它正在监视中东的个人并准备发动攻击。攻击组织以Android用户为目标,向他们发送带有后门且包含恶意代码的流行、知名应用程序。许多应用程序具有宗教或政治主题,并且针对波斯语、阿拉伯语和库尔德语用户,可能暗示攻击的主要目标。研究人员发现了新的证据,表明DomesticKitten至少从2013年开始就一直在使用PE可执行文件来针对使用Windows的受害者,并且有证据表明它可以追溯到2011年。根据研究人员的分析,其Windows版本尚未发布。植入物的功能和基础设施在此版本中保持不变,并已用于该组织今年见证的活动中。DomesticKitten是一个APT组织,自2015年以来一直以波斯语用户为目标,其开发组织似乎位于伊朗。尽管该组织已经活跃了很长时间,但其大部分活动都受到监视,而且据研究人员称,安全研究人员尚未对其进行调查。直到最近诱饵文件上传到VirusTotal并在Twitter上被研究人员注意到时才引起注意。研究人员随后分析了其中一个植入物。研究人员现在已经能够分析其扩展的功能并提供对其他变体的见解。上述文件中提到的投放的恶意程序名为MarkiRAT,旨在记录击键和剪贴板内容,提供文件下载和上传功能,并在受害者的计算机上执行任意命令。研究人员可以将植入程序追溯到2015年,其目的是劫持Telegram和Chrome应用程序作为持续攻击。正如“DomesticKitten”活动所证明的那样,植入程序多年来一直使用相同的C2域。DomesticKitten组织(APT-C-50)最先被国外安全厂商披露,自2016年以来一直在进行广泛而有针对性的攻击,目标是中东某国的持不同政见者和反对派,以及ISIS支持者和主要定居的库尔德少数民族在中东国家的西部。值得注意的是,所有目标都是中东国家的公民。中东国家的政府机构,如伊斯兰革命卫队(IRGC)、情报部和内政部,可能会为该组织提供支持。Karkadann是一个攻击组织,至少从2020年10月开始就一直以中东的政府机构和新闻媒体为目标。该攻击组织利用带有触发感染链的嵌入式宏的定制恶意文档,在InternetExplorer中打开URL。宏和浏览器规范中存在的最少功能表明攻击组织可能正在利用InternetExplorer中的特权升级漏洞。尽管在Karkadann案例中几乎没有可用于分析的证据,但研究人员能够找到与Piwiks案例的相似之处,Piwiks案例是研究人员发现的针对中东几个知名网站的水坑攻击。研究人员还发现了Karkadann最近的活动与Piwiks攻击之间的相似之处。自去年以来,研究人员发现一些基础设施与未分类的攻击重叠,这些攻击可能与同一攻击组织有关。本文翻译自:https://securelist.com/apt-trends-report-q1-2021/101967/如有转载请注明出处。
