最近针对视频游戏公司的一系列勒索软件攻击与臭名昭著的APT27威胁组织密切相关,这表明高级持续性APT正在改变以往以间谍活动为重点的策略,转而使用勒索软件进行攻击。研究人员指出,此次攻击与APT27之间存在“密切联系”,去年作为供应链攻击的一部分,APT27被列入影响全球主要游戏公司的勒索软件攻击列表。事件的细节,包括具体的公司名称和时间,都很少。然而,虽然研究人员告诉Threatpost,他们无法说出被攻击的具体游戏公司的名称,但他们表示已有五家公司受到了此次攻击的影响。更重要的是,其中两家受影响的公司是“世界上最大的公司之一”。研究人员表示,据称在中国境内活动的威胁组织APT27(也称为BronzeUnion、LuckyMouse和EmissaryPanda)自2013年以来一直存在。该组织传统上使用开源工具访问互联网,其攻击旨在收集政治和军事情报。此外,它一直在为网络间谍和数据盗窃进行攻击,而不仅仅是为了金钱利益。Profero和SecurityJoes的研究人员在周一的联合分析中指出:“此前,APT27并没有为了经济利益而发起攻击,因此这种使用勒索软件的攻击策略非常不寻常。”由于COVID-19在中国国内蔓延,此次攻击以经济利益为目的也就不足为奇了。”供应链攻击研究人员还表示,此次攻击是通过第三方服务提供商进行的,而该服务提供商是此前被另一家第三方服务商感染,研究人员进一步调查安全事件后发现,恶意软件样本与2020年初的一次名为DRBControl的攻击活动有关,趋势科技研究人员此前发现了此次攻击活动,并指出DRBControl后门攻击与APT27和Winnti供应链攻击组织关系密切,DRBControl后门攻击的特点是对非法赌博公司进行渗透攻击,并使用Dropbox与其进行命令控制(C2)通信。来自Profero和SecurityJoes的研究人员在最近的攻击中发现了与DRBControl“非常相似”的样本(他们称它们为“Clambling”样本,但这种变体不具备Dropbox功能。)研究人员发现DRBControl和PlugX样本都使用了GoogleUpdater可执行文件将自己加载到内存中,但是这个可执行文件容易受到DLL侧载攻击(侧载是指使用恶意DLL来欺骗合法的DLL,然后依靠合法的Windows可执行文件来执行恶意代码过程)。研究人员说,这两个样本都使用了签名的GoogleUpdater,并且两个DLL都被标记为goopdate.dll。“这两个样本中的每一个都有一个合法的可执行文件、一个恶意DLL和一个由shellcode组成的二进制文件,负责从自身提取有效负载并在内存中执行它,”研究人员说。网络攻击者渗透第三方公司,获取该公司系统的傀儡机后,为协助横向移动攻击,会部署一个ASPXSpywebshel??l。研究人员表示,该事件的另一个特点是在攻击过程中使用了BitLocker,这是一种内置于Windows中的驱动器加密工具,用于对核心服务器进行加密。“这很有趣,因为在许多情况下,攻击者会将勒索软件投放到受害者的机器上,而不是直接使用本地工具进行攻击,”他们说。APT27追踪研究人员在战术、技术和程序(TTP)方面观察到攻击与APT27之间的“极其紧密的联系”。例如,研究人员表示,他们发现DRBControl样本与之前发现的APT27漏洞之间存在许多相似之处。此外,活动中使用的ASPXSpywebshel??l的修改版本之前也曾在APT27的网络攻击中出现过。在发现后门文件的同时,研究人员还发现了一个利用CVE-2017-0213提权的二进制文件,这是APT27之前使用的MicrosoftWindows服务器中的一个漏洞。“APT27过去曾利用此漏洞来提升权限,”研究人员表示。“ProferoCEOOmriSegevMoyal告诉Threatpost,除了匹配之前APT27使用的工具包外,研究人员还注意到与APT27之前攻击中使用的代码高度相似;该域名与之前其他APT27相关攻击的匹配度很高研究人员还注意到,此次攻击的各种流程与之前的APT27攻击有相似之处,包括执行不同功能的方法所使用的参数量,以及使用DLL侧载攻击方式,主要的payload存储在一个单独文件等本文翻译自:https://threatpost.com/ransomware-major-gaming-companies-apt27/162735/如有转载请注明原文地址。
