接上篇《2021年第二季度全球APT趋势报告(一)》中东APT活动2020年底,自称“BlackShadow”的黑客组织向以色列保险公司勒索100美元10,000美元的比特币,或发布公司泄露的数据。从那以后,该组织声名鹊起,攻击了以色列的另一家公司,并在Telegram上发布了大量包含其客户信息的文件。在此之后,研究人员在他们的跟踪分析中发现了该组织独特的.NET后门的几个样本,这些样本以前不为研究人员所知,其中一个最近在沙特阿拉伯被发现。通过以研究人员在这些样本中观察到的新基础设施指标为中心,研究人员能够找到与恶意Android植入物有联系并显示与该组织活动有联系的特定C2服务器。在研究人员先前报告针对中东目标的WildPressure活动之后,研究人员发现了他们的C++木马的更新版本(1.6.1)、具有相同版本的相应VBScript变体,以及一组全新的模块,包括一个编排器(MySQL复制拓扑管理和可视化工具)和三个插件。这证实了研究人员之前的假设,基于C2通信协议中包含“客户端”编程语言的字段,除了C++之外还有更多的“最后阶段”。WildPressure使用的另一种语言是Python。Windows的PyInstaller模块包含一个名为“Guard”的脚本。也许最有趣的发现是这个恶意程序是为Windows和macOS操作系统开发的。在此示例中,硬编码版本为2.2.1。编码风格、整体设计和C2通信协议在攻击者使用的所有编程语言中都非常有辨识度。WildPressure使用的恶意程序在版本和使用的编程语言方面仍在积极开发中。虽然研究人员无法将WildPressure的活动与其他攻击者联系起来,但研究人员确实发现了BlackShadow使用的TTP(策略、技术和程序)的某些相似之处,BlackShadow在同一地区也很活跃。然而,研究人员认为,这些相似性的证据太少,无法说明太多。研究人员发现了一项正在进行的活动,研究人员认为这是一个名为WIRTE的演员,该活动于2019年底开始,针对多个地区,重点是中东。WIRTE是一个鲜为人知的攻击者,于2019年首次被公开提及,研究人员怀疑它与GazaCyber??group有联系,该组织被认为是一个具有阿拉伯背景的出于政治动机的网络犯罪集团。2月,攻击者使用VBS/VBA植入程序植入MSExcel,攻击者使用隐藏的电子表格和VBA宏植入他们的第一阶段植入程序——VBS脚本。VBS脚本的主要功能是收集系统信息并执行攻击者发送的任意代码。尽管研究人员最近报告了用于侦察和分析活动的新Muddywater第一阶段VBS植入程序,但这些恶意攻击具有略微不同的TTP和更广泛的目标。迄今为止,研究人员记录的受害者集中在中东和该地区以外的其他几个国家。虽然各行各业都受到影响,但重点主要是政府和外交机构;但是,研究人员还注意到针对律师事务所的异常攻击。GoldenJackal是研究人员最近在跟踪分析中发现的一个活动集群的名称,自2019年11月以来一直处于活动状态。该恶意软件包含一组基于.NET的植入程序,旨在控制受害者设备并从中窃取某些文件,表明攻击者的主要动机是间谍活动。此外,在与中东外交使团相关的一组受限设备中发现了植入物。对上述恶意程序和随附的检测日志的分析描绘了一个有能力且适度隐蔽的攻击者的画面。潜在攻击者在我们遇到的少数组织中成功获得立足点证明了这一点,同时保持低签名和模糊足迹。东南亚和朝鲜半岛的APT活动ScarCruft(又名Reaper和123组织)是亚洲最活跃的APT组织之一。据卡巴斯基实验室称,该组织还一直以世界各地的外交团队为目标。ScarCruft的受害者包括中国、印度、韩国、科威特和尼泊尔的政府机构。研究人员观察到,ScarCruft在1月份入侵了一个与朝鲜有联系的新闻媒体网站,攻击一直持续到3月份。在这次攻击中,攻击者使用了与OperationPowerfall中相同的漏洞利用链CVE-2020-1380和CVE-2020-0986。根据漏洞利用代码和攻击场景特征,研究人员怀疑OperationPowerFall与ScarCruft组织有关。漏洞利用链由shellcode执行的多个阶段组成,最终在内存中部署Windows可执行负载。研究人员确定了几名来自韩国和新加坡的受害者。除了这种水坑攻击之外,该组织还使用隐藏其有效负载的恶意Windows可执行文件。被称为“ATTACK-SYSTEM”的恶意软件还使用多阶段shellcode攻击来传递名为“BlueLight”的相同最终有效载荷。BlueLight在C2中使用OneDrive,从历史上看,ScarCruft恶意软件,尤其是RokRat,利用个人云服务器作为C2服务器,例如pCloud、Box、Dropbox和Yandex。2020年5月,台湾刑事调查局(CIB)就针对台湾立法者的袭击发出了警告。该公告称,一名身份不明的攻击者使用虚假的总统电子邮件帐户发送鱼叉式网络钓鱼电子邮件,其中包含研究人员称之为“Palwan”的恶意程序。Palwan是一种恶意程序,能够执行基本的后门功能以及下载具有附加功能的更多模块。在分析恶意软件时,研究人员发现了另一个针对尼泊尔的平行活动。研究人员还在2020年10月和今年1月发现了两次使用Palwan恶意软件变体对尼泊尔发起的攻击。研究人员怀疑尼泊尔的目标行业与台湾CIB报告的行业相似。在调查尼泊尔活动中使用的基础设施时,研究人员发现与DroppingElephant活动重叠。然而,研究人员认为这种重叠不足以将此活动归因于DroppingElephant背后的开发人员。被称为“DroppingElephant”(又称“Chinastrats”)的网络犯罪攻击可以说并不复杂。攻击目标主要是一些与中国和中国国际事务有关的外交和政府机构。尽管攻击者仅配备了较旧的漏洞利用程序和常见的攻击工具,但他们针对了几个高层目标,包括一些西方国家机构。Bluenoroff以攻击全球金融公司而闻名,最近该组织又增加了转移加密货币的业务。自研究人员在2020年追踪到BlueNoroff的“SnatchCrypto”活动以来,该组织传播恶意软件的策略发生了变化。在此活动中,BlueNoroff使用了利用远程模板注入漏洞CVE-2017-0199的恶意Word文档。注入的模板包含一个VisualBasic脚本,负责解码来自初始Word文档的下一个有效负载并将其注入合法进程。注入的有效载荷会在受害者的设备上创建一个持久的后门。研究人员观察了几种类型的后门。为了进一步监控受害者,攻击者还可以部署额外的工具。BlueNoroff专门针对此活动设置了虚假的区块链或加密货币相关公司网站,以引诱潜在受害者并启动攻击过程。攻击者使用了大量包含商业和保密协议以及商业描述的诱饵文件。与之前的SnatchCrypto活动相比,BlueNoroff组织使用了类似的后门和PowerShell代理,但改变了初始攻击向量。附加到鱼叉式网络钓鱼电子邮件的Windows快捷方式文件曾经是攻击的起点,尽管它们现在已被武器化的Word文档所取代。研究人员发现了一个使用修改后的攻击方案和针对韩国各个行业的定制勒索软件的Andariel活动。4月,研究人员观察到一个上传到VirusTotal的可疑文件,其中包含一个韩文文件名和一个诱饵。这表明攻击者使用了新的攻击方案和不熟悉的负载。Malwarebytes最近发布了一份报告,其中包含有关同一家族发起的一次攻击的技术细节,并将其归咎于Lazarus组织。经过深入分析,研究人员得出了不同的结论——安达利尔集团是这些攻击的幕后黑手。此活动中的第二阶段有效负载与Andariel组之前的恶意软件之间的代码重叠。除了代码的相似性和相同的受害者外,研究人员还发现了与Andariel组织的其他联系。每个攻击者都有在后开发阶段与后门shell交互的独特习惯。Windows命令及其选项在此活动中的使用方式与之前的Andariel活动几乎相同。自2020年年中以来,攻击者一直在传播第三阶段的有效载荷,使用恶意Word文档和模仿PDF文档的文件作为攻击媒介。值得注意的是,除了最后一个后门,研究人员还发现了一个被定制勒索软件攻击的受害者。该勒索软件为之前针对ATM的Andariel活动增加了另一个维度。研究人员最近在东南亚发现了一次由LuminousMoth演员发起的大规模、高度活跃的攻击。进一步分析显示,该恶意活动可追溯到2020年10月,并在6月仍在进行。LuminousMoth利用DLL旁加载来下载和执行CobaltStrike有效负载。然而,也许这种攻击最有趣的部分是它能够通过攻击USB驱动器传播到其他主机。除了恶意DLL之外,攻击者还在一些受感染的系统上部署了流行应用程序Zoom的虚假签名,从而允许攻击者窃取文件;以及一个通过从Chrome浏览器窃取cookie来访问受害者Gmail会话的附加组件。工具。基础设施关系以及共享的TTP暗示了LuminousMoth和HoneyMyte威胁组织之间可能存在联系,这两个威胁组织过去曾针对同一地区并使用类似的工具发起攻击。大部分活动早些时候发生在缅甸,但现在看来,袭击者在菲律宾更为活跃,已知袭击事件的数量增加了十倍以上。这就提出了这次袭击是否专门针对菲律宾的问题。研究人员最近报告了针对Windows平台以及基于Android的植入程序的SideCopy活动。事实证明,这些植入物由多个充当信息窃取器的应用程序组成,从受害者的设备收集敏感信息,如联系人列表、短信、通话记录、媒体和其他类型的数据。随后,研究人员发现了其他恶意Android应用程序,其中一些声称是已知的消息应用程序,例如Signal或成人聊天平台。这些新发现的应用程序使用Firebase消息服务作为接收命令的渠道。运营商可以控制是否使用Dropbox或其他硬编码服务器来窃取文件。其他有趣的APT活动研究人员扩展了他们对CVE-2021-1732漏洞的研究,该漏洞最初由DBAPPSecurity威胁情报中心发现并被BitterAPT组织使用,研究人员发现了另一个可能在亚太地区使用的零日漏洞.有趣的是,该漏洞与CVE-2021-1732和其他先前修补的漏洞一起作为单独框架的一部分被发现。研究人员非常确定该框架与BitterAPT完全无关,并且已被不同的攻击者使用。进一步分析表明,至少从2020年11月开始,这个特权升级(EoP)漏洞就可能被广泛使用。发现后,研究人员于2月向微软报告了这个新漏洞。微软确认并命名为CVE-2021-28310。利用漏洞中留下的各种痕迹和人工制品意味着研究人员也非常有信心CVE-2021-1732和CVE-2021-28310是由“Moses”漏洞开发者创建的。“摩西”似乎是一名漏洞开发者,他基于过去的其他漏洞利用程序,向多个攻击者提供了漏洞利用程序。到目前为止,研究人员已经确定了至少两个已知的攻击者利用了最初由Moses开发的漏洞:BitterAPT和DarkHotel。基于类似的标志和工件,以及从第三方私下获得的信息,研究人员认为,过去两年在野观察到的至少六个漏洞源自“摩西”。虽然EoP漏洞是在野外发现的,但研究人员目前无法将其直接链接到他们目前正在跟踪的任何已知攻击者。EoP漏洞利用可能与其他浏览器漏洞利用链接在一起,以逃避沙箱并获得系统级权限以进行进一步访问。不幸的是,研究人员无法捕获完整的漏洞利用链,因此研究人员不知道该漏洞利用是否与其他浏览器零日漏洞一起使用,或者与利用已知已修补漏洞的漏洞利用相结合。在ProxyLogon和其他Exchange漏洞曝光后,研究人员发现APT攻击者对Exchange服务器的攻击激增,他们注意到一个独特的活动集群引起了研究人员的注意,因为它至少从2020年12月开始就存在了。攻击者它的背后似乎一直在使用新开发的工具集攻击Exchange服务器。3月,针对Exchange服务器的几波攻击被发现,表现在研究人员观察到的相同活动中。部分描述了研究人员观察到的相同活动集群。据ESET报道,其中一项评估显示,该活动背后的攻击者在公开发布之前就获得了该交易所的漏洞,这与研究人员去年对其早期活动的观察结果相符。尽管如此,没有任何公共账户描述完整的感染链,也没有描述作为该组织行动一部分的恶意程序部署的后期阶段。4月15日,Codecov公开披露其BashUploader脚本被泄露。BashUploader脚本由Codecov公开传播,用于收集有关用户执行环境的信息,收集代码覆盖率报告,并将它们发送到Codecov基础设施。因此,这种脚本入侵实际上构成了供应链攻击。Bash上传器脚本通常作为开发和测试环境中的可信资源执行(包括作为自动化构建过程的一部分,例如持续集成或开发管道);它的入侵可能允许恶意访问基础设施或帐户机密,以及代码存储库和源代码。虽然研究人员还无法确认恶意脚本的部署、检索有关受感染目标的任何信息或识别更多相关的恶意工具,但研究人员能够收集受感染的Bash上传脚本的样本并识别出一些额外的恶意服务器可能有关联。微软在4月份发布更新后,一些可疑的二进制文件引起了研究人员的注意,它们伪装成“2021年4月安全更新安装程序”。它们使用有效的数字签名进行签名,提供CobaltStrike信标模块。这些模块很可能是用被盗的数字证书签名的。这些CobaltStrike信标植入物配置有硬编码的C2,“code.microsoft.com”。研究人员现在可以确认微软的基础设施没有受到损害。事实上,未经授权的一方接管了悬空的子域“code.microsoft.com”,并将其配置为解析到他们在4月15日左右设置的CobaltStrike主机。该域托管CobaltStrike信标负载,为HTTP客户端提供特定且唯一的用户代理。4月14日至15日,卡巴斯基检测到一波针对多家公司的高度针对性攻击,所有这些攻击都利用了GoogleChrome和MicrosoftWindows零日攻击链。虽然研究人员尚未能够在Chrome网络浏览器中检索远程代码执行(RCE)漏洞,但研究人员能够找到并分析特权提升(EoP)漏洞以逃避沙箱并获得系统特权。EoP漏洞利用针对最新和最突出的Windows10版本(17763–RS5、18362–19H1、18363–19H2、19041–20H1、19042–20H2)进行了微调,它利用了MicrosoftWindows操作系统内核。研究人员于4月20日向微软报告了这些漏洞,将CVE-2021-31955分配给信息泄露漏洞,将CVE-2021-31956分配给EoP漏洞。这两个漏洞都已于6月8日修补。漏洞利用链试图通过删除程序在系统中安装恶意程序。恶意程序启动并将负载作为系统服务加载,这是一个“远程shell”式后门,它又连接到C2以获取命令。到目前为止,研究人员尚未发现与已知攻击者有任何联系或重叠。因此,研究人员暂且将这个活跃的星团命名为PuzzleMaker。总结通过分析,攻击者的TTP一直在随着时间的推移而发展,除了严重依赖社会工程之外,他们还更新了他们的工具集并扩大了他们的活动范围。本文翻译自:https://securelist.com/apt-trends-report-q2-2021/103517/
