2020年度APT攻击回顾

2020年度安全人员跟踪900余次高级威胁活动，详情可查看季度报告。本文将重点介绍过去12个月的APT攻击的特点。Windows之外Windows仍然是APT的主要关注点，但今年也观察到了大量非Windows活动。例如，Lazarus的MATA恶意软件框架。April发现MATA扩展到Windows和Linux以外的系统，包括macOS。Lazarus利用嵌入宏的Office文档并根据受害者的系统传播PowerShell或macOS恶意软件。安全人员发布了Penquin家族分析报告，并于5月发布了对Penquin_x64的技术分析。Penquin_x64是Turla的PenquinGNU/Linux后门的变体。分析指出，Turla可能将Penquin用于传统情报以外的操作。TunnelSnake攻击活动在2020年第三季度APT趋势报告中有所描述。攻击者利用开源工具Earthworm和Termite在主机之间生成远程shell和隧道通信。这些工具能够在包括物联网设备在内的各种架构上运行，表明攻击者已将此类设备作为新目标。UEFI固件感染在对一次攻击的调查中，发现了一个UEFI固件映像。固件模块是基于VectorEDK的bootkit，植入的恶意软件是下载器。通过对恶意软件特征的分析和提取，发现了一系列相似的样本。这些样本自2017年开始在外交机构中使用，它们的大部分业务逻辑是相同的，但一些附加功能在实现上可能有所不同。移动恶意攻击今年出现了许多针对移动平台的APT组织。一月份，发现了一个利用完整的远程iOS攻击链的水坑。本网站专为香港用户而设。目前利用已知漏洞，攻击者正在改进漏洞利用工具以针对更多iOS版本和设备。它还支持Android、Windows、Linux和macOS等平台。8月，研究人员发表了他们对透明部落的第二次分析。其中包括该组织用来渗透Android设备的恶意软件。该恶意程序伪装成印度政府开发的AarogyaSetuCOVID-19追踪应用程序，主要针对印度军方人员，通过WhatsApp、短信、电子邮件或社交媒体发送恶意链接进行传播。今年6月，观察到一组新的恶意Android下载程序，自2019年12月以来一直出现在网络上，主要针对巴基斯坦。美国NTISB在1月份的一份报告中分析了共享相同C2以巴基斯坦军事机构为目标的恶意软件，攻击者使用WhatsApp消息、短信、电子邮件和社交媒体作为初始传递载体。官方点名5月，英国国家网络安全中心（NCSC）和美国国土安全部（DHS）发出联合警告，两国正在调查针对制药公司、医学研究机构和制药公司的网络攻击。7月30日，欧洲理事会对涉及多起网络攻击的6名个人和3个实体实施旅行禁令和资产冻结等制裁，禁止欧盟个人和实体向名单上的人员提供资金。9月，美国司法部针对与APT41和其他网络攻击有关的黑客发出了三份起诉书，这些黑客包括Barium、Winnti、WickedPanda和WickedSpider。在美国司法部与马来西亚政府合作后，两名马来西亚国民于9月14日被捕，罪名是“非法入侵计算机”。起诉书中的信息将这些入侵与ShadowPad和ShadowHammer联系起来。10月，美国司法部起诉六名俄罗斯军官进行多次网络攻击，包括NotPetya、2018年奥运会驱逐舰攻击和Novichok中毒。英国的NCSC还指责俄罗斯的GRU军事情报部门袭击了东京奥运会官员。“恰到好处”就足够了APT攻击并不总是需要复杂的技术，正如DeathStalker所说明的那样。DeathStalker以律师事务所和金融业为目标，收集敏感的商业信息，提供黑客服务，或充当金融界的信息经纪人。本季度，发现了该组织基于LNK入侵的线索。该组织一直在开发其工具包，自2018年以来采用相同的策略，同时加大力度逃避检测。2020年6月末发现DeathStalker有趣的变化。例如，该恶意软件使用嵌入的IP地址或域名直接连接到C2服务器，并使用至少两个DDR或Web服务来获取真实的C2IP地址或领域。攻击者不仅限于发送鱼叉式网络钓鱼电子邮件，还通过多封电子邮件主动联系受害者，说服他们打开诱饵。此外，攻击者在入侵中使用了基于Python的恶意工具，这也是首次发现攻击者放弃PE二进制文件作为加载evillum的中间阶段。还发现了该组织自2020年第二季度以来使用的不太复杂的恶意软件，它们依赖DNSoverHTTPS(DoH)作为C2通道。2020年10月，发现并分析了该组织PowerPepper工具集的新样本，包括改进的沙盒检测技术。COVID-19在COVID-19大流行和许多国家的封锁之后，攻击者继续在他们的网络活动中利用对这种疾病的恐惧。大多数与COVID-19相关的网络钓鱼都是由网络犯罪分子发起的，目的是为了赚钱。然而，根据OSINT（开源情报），攻击者名单包括Lazarus、Sidewinder、TransparentTribe、GroupA21等。研究人员还发现，Kimsuky、APT27、IronHusky和??ViciousPanda也在使用以COVID-19为主题的诱饵来瞄准受害者。在WellMess报告之后，英国国家网络安全中心（NCSC）与加拿大和美国政府一起发布了一份关于WellMess最新活动的报告。这三个国家的政府将针对COVID-19疫苗研究的恶意软件归咎于Dukes（又名APT29和CozyBear）。原文链接：安全列表