(续)东南亚及朝鲜半岛APT攻击趋势分析研究人员发现,Kimsuky组织使用了一种新的方式传播其恶意程序。研究人员发现,在此次活动中,从2020年12月开始,该组织攻击了一个属于股票交易程序提供商的网站,攻击者将托管安装包替换为恶意程序。Kimsuky还使用包含与COVID-19相关的诱饵的恶意韩文(HWP)文件来讨论政府救济基金,从而分发其恶意程序。这两种感染媒介最终都会投放QuasarRAT,这是一种公开可用的开源远程访问木马,主要针对Windows操作系统。Quasar通过恶意附件在网络钓鱼电子邮件中传播。与Kimsuky上次报告的由各种脚本组成的感染链相比,这个新方案增加了复杂性,并引入了一种非常不受欢迎的文件类型,涉及嵌入了C#代码、XML和可执行文件的VBS脚本。扩展样式表语言(XSL)文件,用于获取和执行暂存器和有效负载。根据诱饵文件和被攻击的安装程序包的功能,研究人员得出结论认为,这次攻击是出于经济动机,正如研究人员之前报告的那样,这是Kimsuky攻击者的主要关注领域。1月25日,谷歌攻击分析小组(TAG)宣布,与朝鲜相关的攻击小组以安全研究人员为目标。根据谷歌TAG的博客,研究人员分析,攻击团伙使用高度复杂的社会工程学手段,通过社交媒体联系安全研究人员,并提供被攻击的VisualStudio项目文件,或引诱他们到自己的博客中,诱导受害者安装Chrome漏洞利用程序.3月31日,谷歌TAG发布了此次活动的更新,攻击者组织更新了另一波虚假社交媒体资料,以及攻击者组织在3月中旬设立的公司。研究人员能够确认博客上的几个基础设施与研究人员之前关于Lazarus组织的ThreatNeedle组织的报告重叠。此外,谷歌提到的恶意软件与研究人员自2018年以来一直在跟踪的恶意软件ThreatNeedle相匹配。在调查相关信息时,一名外部研究人员也确认他也受到了此次攻击的影响,并将信息分享给研究人员进行调查。在解密受感染主机的配置数据后,研究人员发现了额外的C2服务器。在调查过程中,服务器仍在使用中,研究人员能够获取额外数据、分析服务器上的日志和文件。研究人员发现,公开的基础设施不仅被用于针对安全研究人员,还被用于其他Lazarus攻击。在研究人员进行研究时,他们发现大量主机与C2进行通信。您可以在此处阅读研究人员的公开报告。继研究人员之前使用ThreatNeedle调查Lazarus对国防工业的攻击后,研究人员发现了另一个名为CookieTime的恶意软件组,该恶意软件组被用于主要针对国防工业的活动。研究人员在2020年9月和11月检测到活动,样本可追溯到2020年4月。与Lazarus组的已知恶意软件组相比,CookieTime表现出不同的结构和功能。恶意程序使用HTTP协议与C2服务器通信。为了将请求类型传播到C2服务器,它使用编码的cookie值并从C2服务器获取命令文件。C2通信利用隐写术,以受感染客户端和C2服务器之间交换的文件形式发起攻击。伪装成GIF图像文件内容,但包含来自C2服务器的加密命令和命令执行结果。通过与当地CERT密切合作,研究人员能够移除攻击中使用的基础设施,这为研究命令和控制脚本提供了机会。恶意软件控制服务器以多阶段方式配置,只向目标主机分发命令文件。在调查越南政府认证机构(VGCA)网站上的供应链攻击工具时,研究人员发现第一个木马化软件包可以追溯到2020年6月,它是使用PhantomNet恶意软件部署的插件进行分发的。研究人员对这些插件的分析揭示了与之前分析的CoughingDown恶意软件的相似之处。研究人员通过分析攻击中使用的每种攻击工具以及该组织武器库中的其他工具,了解了它的工作原理。最后,研究人员还根据最新发现探究了为什么会出现CoughingDown。2月10日,DBAPPSecurity发布了他们去年12月发现的零日攻击的详细信息。除了漏洞本身的攻击细节外,研究人员还提到BitterAPT在野外使用了该漏洞。尽管最初的报告中没有提供后续信息来解释为什么会发生这种情况,但研究人员对该活动的调查证实,该漏洞实际上仅被该组织使用。研究人员为利用此漏洞的活动以及其他针对巴基斯坦和中国政府以及电信公司的工具取了一个名字——TurtlePower。研究人员还将此漏洞的出现与他们称为Moses的攻击联系起来。在过去的两年里,Moses领导了至少五个修复程序的开发。到目前为止,研究人员还能够将其中一些漏洞利用与至少两个不同的攻击组织(BitterAPT和DarkHotel)联系起来。目前尚不清楚这些攻击团伙是如何通过直接购买或其他第三方供应商的方式从Moses获得攻击的。在TurtlePower活动期间,BitterAPT使用了多种工具来对付受害者,包括称为ArtraDownloader的第一阶段有效载荷、称为Splinter的第二阶段有效载荷、称为SourLogger的键盘记录器、称为SourFilling的信息窃取器以及Mimikatz的变体,它通过收集特定信息、文件并保持对它们的访问。这一特定的活动似乎也只针对巴基斯坦和中国的目标。研究人员可以使用自己的数据来验证针对巴基斯坦领土的特定攻击,CVE-2021-1732的使用在2020年6月至7月达到顶峰,但活动仍在进行中。2020年,研究人员观察到与“DroppingElephant”(又名Patchwork,Chinastrats)相关的新一波攻击,主要针对中国和巴基斯坦的目标。研究人员还注意到,人们对中东和非洲大陆的兴趣日益浓厚,这些目标是该集团传统业务范围之外的一些目标。攻击发生在该组织完善的TTP之上,其中包括使用旨在利用MicrosoftOffice中的远程代码执行漏洞的恶意文档和在感染后阶段签名的JakyllHyde(又名BadNews)木马。DroppingElephant为JakyllHyde引入了一种新的滴管,研究人员将其命名为Crypta。该恶意软件包含阻碍检测的机制,似乎是APT组织最近工具集的核心组件。已观察到Crypta及其变体加载了许多后续有效载荷,例如BozokRAT、QuasarRAT和LokiBot。研究人员在研究过程中发现的另一个木马是PubFantacy。据研究人员所知,该工具的研究结果从未公开过,它至少从2018年开始就被用于攻击Windows服务器。研究人员最近发现了SideWinder攻击组织在2018-2019年使用的一种以前不为人知的Android植入程序,它研究人员将其命名为BroStealer。BroStealer植入程序的主要目的是从受害者的设备收集敏感信息,例如照片、短信、通话记录和来自各种消息应用程序的文件。虽然SideWinder使用Windows平台开展许多针对受害者的活动,但最近的报告表明该组织也在通过移动平台攻击目标。其他有趣的发现2019年2月,几家网络安全公司检测到一系列恶意程序样本,其中大部分与各种已知的APT组织有关。其中一些样本无法与任何已知的活动相关联。由于攻击技术的先进性,其中一些也引起了研究人员的特别关注。虽然研究人员尚未发现与任何其他已知恶意程序共享代码,但样本的编码模式、风格和技术存在重叠,这在Lambert的各个家庭中都可以看到。因此,研究人员将这个恶意程序命名为紫色兰伯特。PurpleLambert由几个负责监控网络目标的模块组成。它能够为攻击组织提供有关受感染系统的基本信息并执行接收到的有效负载。它的作用让研究人员想起了另一个格雷·兰伯特。事实证明,GrayLambert已经在多次攻击中取代了内核模式的WhiteLambert植入。此外,紫色兰伯特显示出类似于灰色兰伯特和白色兰伯特的特征,但在本质上仍然不同。结论尽管一些攻击组的TTP(策略、技术和程序)随着时间的推移而演变,但他们攻击的成功在很大程度上依赖于社会工程学,因为其他攻击组在现有工具集上进行迭代并扩大了他们的攻击范围和相应的攻击趋势也发生了变化。以下是研究人员在2021年第一季度发现的主要趋势:研究人员在本季度发现的最主要的攻击可能是SolarWinds攻击。SolarWinds再次证明了供应链攻击的复杂程度,而这次攻击尤其表明人们在更好的隐蔽性和持久性方面付出了更多的努力。由于在SolarWinds产品中发现了大量零日漏洞,研究人员仍在调查此次攻击的范围。另一个主要的攻击趋势是多个攻击组织正在利用MicrosoftExchange中的零日漏洞。最近,研究人员发现了另一种利用这些漏洞的攻击。此外,Lazarus组织还利用浏览器中的零日漏洞攻击其目标。本文翻译自:https://securelist.com/apt-trends-report-q1-2021/101967/如有转载请注明出处。
