四年多来,卡巴斯基全球研究与分析团队(GReAT)一直在根据其攻击情报研究发布高级持续攻击(APT)活动的季度摘要。最显着的发现去年12月报道的SolarWinds事件之所以引人注目,是因为攻击者极其谨慎,受害者也非常引人注目。有证据表明,攻击背后的DarkHalo(又名Nobelium)在OrionIT的网络中花费了六个月的时间来完善他们的攻击。6月,在基于SolarWinds的DarkHalo发生六个多月后,研究人员在独立国家联合体成员国的多个政府地区观察到DNS劫持,允许攻击者将流量从政府邮件服务器重定向。定向到他们控制下的计算机,这可以通过从受害者注册商的控制面板获取凭据来实现。当受害者试图访问他们公司的电子邮件时,他们会被重定向到一个虚假的网页。然后他们被诱骗下载以前未知的恶意软件。这个后门被称为Tomiris,与DarkHalo去年使用的第二阶段恶意软件Sunshuttle(又名GoldMax)有许多相似之处。然而,Tomiris和Kazuar之间也有很多重叠,Kazuar是与TurlaAPT攻击者相关的后门。没有任何相似之处足以将Tomiris和Sunshuttle联系起来。但是,这表明他们有共同的开发人员或共享开发代码的可能性。俄语地区的APT活动本季度,研究人员发现了几种典型的Gamaredon恶意感染文件、植入程序和植入程序;这可能表明一场针对乌克兰政府的运动正在进行,可能从5月开始就活跃起来。研究人员无法准确识别相关的感染链,因为他们只能取回一部分样本。但这并没有阻止研究人员将其归因于Gamaredon。本文详细介绍了各种植入程序和解码器脚本,以及对DStealer后门的分析和研究人员观察到的与该活动相关的大型基础设施。ReconHellcat是一个鲜为人知的攻击者,于2020年被公开发现。其活动的第一个帐户可以追溯到去年3月,其中MalwareHunterTeam在推特上描述了一个名为存档的恶意植入,其中包含一个包含恶意可执行文件的与COVID相关的诱饵文件名。BlackWater依次投放并打开一个诱饵文件,然后该文件充当C2服务器以联系CloudflareWorkers,这是其他攻击者在使用时通常不会使用的方法。自从首次发现这种攻击向量以来,类似的TTP已被用作QuoIntelligence涵盖的其他攻击的一部分,这表明潜在的攻击者正在以有针对性的方式进行操作,同时追捕与政府相关的高调目标。这种活动似乎一直持续到2021年,当时研究人员发现了最近发生的一系列使用相同技术和恶意软件的攻击,以在中亚的外交组织中站稳脚跟。在研究人员的私人报告中,研究人员描述了这次活动,研究了攻击者对感染链中的元素所做的各种更改,这些更改可能是由于之前公开曝光他们的活动造成的。从那以后,研究人员发现了ReconHellcat操作的其他文件。8月至9月之间出现了一场新的运动,其感染链不断演变。Zscaler的研究人员还在一篇文章中描述了这项活动。更新后的活动中引入的一些更改包括依赖MicrosoftWord模板(.dotm)来实现持久性,而不是以前使用的MicrosoftWord加载项(.wll)。尽管如此,一些TTP仍然保持不变,因为新的感染链仍然提供相同的最终植入物——Blacksoul恶意软件——并且仍然使用CloudflareWorkers作为C2服务器。ReconHellcat以与塔吉克斯坦、吉尔吉斯斯坦、巴基斯坦和土库曼斯坦等中亚国家有关的政府组织和外交联系人为目标。此外,研究人员还确定了两个在上一波攻击中没有遇到的国家:阿富汗和乌兹别克斯坦。因此,研究人员认为它就是ReconHellcat。中文活动疑似HoneyMyte的APT攻击者在南亚国家的传播服务器上修改了指纹扫描仪软件安装程序包。APT修改一个配置文件,并将带有.NET版本的PlugX注入器的DLL添加到安装程序包中。安装时,即使没有网络连接,.NET注入器也会解密PlugX后门有效负载并将其注入新的svchost系统进程,尝试向C2发送信标。南亚某个国家/地区的中央政府雇员需要使用此生物识别包来支持记录考勤。研究人员将这次供应链事件和这个特定的PlugX变体命名为SmudgeX,木马安装程序似乎自3月以来一直活跃。在2020年和2021年期间,研究人员检测到一种名为ShadowShredder的新ShadowPad附加组件,该附加组件用于攻击多个国家的关键基础设施,包括但不限于印度、中国、加拿大、阿富汗和乌克兰。经过进一步调查,研究人员还发现了通过ShadowPad和ShadowShredder部署的其他植入程序,例如Quarian后门、PlugX、PoisonIvy和其他黑客工具。值得注意的是,Quarian后门和PoisonIvy与之前针对中亚用户的IceFog活动有相似之处。ShadowPad是一个高度复杂的模块化网络攻击平台,自2017年以来一直被APT组织使用。当时,研究人员发布了一篇博客,详细介绍了ShadowPad的技术细节及其最初发现后的供应链攻击活动,当时它被称为Barium,或该组织对APT41的部署。2020年第一季度,研究人员发布了关于发现x64ShadowPad滴管样本的私人报告。加载模块使用了一种独特的反分析技巧,该技巧涉及加载模块在解密嵌入式shellcode之前通过查看加载模块内存空间中的一些硬编码字节来检查它是否通过特定EXE文件加载。研究人员最近发现的ShadowShredder加载器并没有使用这种技术,而是采用了一种新的混淆方法。研究人员的报告讨论了对ShadowShredder的技术分析以及与ShadowShredder和ShadowPad相关的第二阶段有效载荷的相关活动。ESET在6月发表了一篇博文,描述了一场针对非洲和中东的外交部长和电信公司的活动,他们称之为“后门外交”。研究人员非常有信心将此活动与CloudComputating的攻击者联系起来,后者的目标是中东的知名对象。在调查期间,ESET发现了一个QuarianLinux变体样本,该变体与一个Windows变体共享一个C2服务器,据报道,该变体利用了已部署的已知RCE漏洞(CVE-2020-5902)。一年前,也就是2020年7月,在部署在F5BIG-IP服务器上的SANSISC报告中也提到了相同的QuarianELF二进制文件。本文扩展了对QuarianLinux变体的分析及其与Windows版本的联系。去年,研究人员描述了一场归因于CloudComputating的活动,其中APT攻击者利用一个已知漏洞来破坏公开暴露的MicrosoftExchange服务器,并用ChinaChopperwebshell感染它们。然后,恶意负载被用于上传其他恶意软件,通常是攻击者自2010年左右以来一直在使用的Quarian后门。该活动影响了埃塞俄比亚、巴勒斯坦和科威特。ESET的博客文章使研究人员能够将他们的活动与研究人员去年6月描述的内容联系起来,并扩展研究人员之前的调查以发现新的未知变种和受害者。本文还涵盖了称为Turian的ESET版本、另外两个以前未知的Quarian版本、用于生成恶意Quarian库的构建器组件的概述以及IoC的扩展列表。ExCone是3月中旬开始的针对俄罗斯联邦目标的一系列攻击的一部分,攻击者利用MicrosoftExchange漏洞部署以前未知的木马程序,称为FourteenHI。在研究人员之前的分析中,他们发现了基础设施和TTP以及ShadowPad恶意软件和UNC2643活动之间的多重联系。但是,研究人员无法将攻击归因于任何已知的攻击者。自研究人员的第一份报告以来,他们发现了许多其他变体,这些变体扩展了研究人员对攻击者和活动本身的了解。研究人员发现了针对大量目标的新恶意软件样本,受害者位于欧洲、中亚和东南亚。研究人员还观察了其他各种供应商公开报告的一系列活动,研究人员能够高度自信地将这些活动与ExCone联系起来。最后,研究人员发现了一个新的恶意软件样本,使研究人员可以将ExCone与SixLittleMonkeysAPT组织联系起来。具体来说,研究人员发现了一名被FourteenHI和另一个未知后门攻击的受害者。这个新的“未知后门”与FourteenHI和Microcin有相似之处,后者是SixLittleMonkeys特有的木马。本季度,研究人员还调查了南亚著名的攻击事件。研究人员在2019年至2021年6月底之间发现了另一组针对印度航空航天与国防研究所的TTP,其中包含两个以前未知的后门:LGuarian和HTTP_NEWS。前者似乎是Quarian后门的新变种,攻击者也使用了该后门。通过跟踪分析,研究人员获得了有关攻击者后开发过程的大量信息,并能够提供他们在此阶段使用的各种工具的详细信息,以及在受害者设备上执行的操作。这使研究人员能够收集大量恶意软件样本并发现攻击者基础设施。6月3日,CheckPoint发布了一份针对东南亚政府的监控报告,将恶意活动归咎于名为SharpPanda的攻击者。4月,研究人员调查了一些模仿Microsoft更新安装程序文件的恶意安装程序文件,这些文件使用从一家名为QuickTech.com的公司窃取的数字证书进行签名。这些伪造的安装程序展示了非常有说服力的视觉效果,反映了攻击者为使它们看起来合法所付出的努力。它的最终有效载荷是一个CobaltStrike信标模块,还配置了一个“microsoft.com”子域C2服务器。C2域code.microsoft[.]com是一个休眠的DNS子域,攻击者在4月15日左右注册,伪装成官方VisualStudioCode网站。受害者被诱骗通过虚假的Microsoft更新目录网页在他们的设备上下载并执行这些安装程序,该网页也托管在“microsoft.com”的另一个空闲子域上。在调查恶意安装程序文件时,研究人员发现了其他恶意二进制文件,根据收集到的线索,研究人员假设它们是由同一攻击者开发和使用的,并且至少从1月到6月一直处于活动状态。在本文中,研究人员分析了该攻击者使用的扩展工具集,并将其命名为CraneLand。7月,研究人员在两个看似合法的公开批评中国的网站上发现了可疑的JavaScript(JS)内容。混淆后的JS从一个远程域加载,该域冒充Google品牌并启动恶意JS负载链。受感染的网站仍然包含JS,但研究人员无法将任何其他恶意活动或基础设施与此水坑攻击联系起来。恶意JS似乎不适合传统的网络犯罪目标,与研究人员在其他水坑攻击中观察到的活动相比,它的活动非常不寻常。研究人员认为,恶意JS负载旨在分析和针对来自香港、台湾或中国大陆的个人。应仔细检查与上述恶意域的任何连接,以发现后续的恶意活动。本文翻译自:https://securelist.com/apt-trends-report-q3-2021/104708/如有转载请注明出处。
