四年多来,卡巴斯基全球研究与分析团队(GReAT)一直在发布有关高级持续性威胁(APT)活动的季度报告。最值得注意的发现在调查最近的MicrosoftExchange漏洞时,来自AMR的研究人员和同事发现攻击者部署了一个以前未知的名为“FourteenHi”的后门,研究人员将其命名为ExCone,该活动自3月中旬开始活跃。在调查过程中,研究人员发现了FourteenHi的多种工具和变体,FireEye报告的基础设施与UNC2643活动集群相关联。此外,研究人员发现ShadowPad检测与FourteenHi变体攻击一致,这可能暗示这两个恶意软件家族之间存在共享操作。FourteenHi滥用流行的VLC媒体播放器来执行其加载程序,该加载程序可以执行基本的后门功能。进一步的调查还揭示了攻击者用于事后获得态势感知的脚本,以及之前用于操作CobaltStrike信标的基础设施。尽管研究人员无法将此行为直接归因于任何已知的威胁行为者,但研究人员发现了一个与ShadowPad恶意软件密切相关的较旧、高度相似的64位后门样本,该恶意软件主要以参与供应链攻击而闻名。操作称为攻击向量。值得注意的是,研究人员还发现了UNC2643活动集中使用的64位样本中使用的C2IP,与HAFNIUM攻击者相关,同样使用CobaltStrike、DLLsideloading,并利用相同的Exchange漏洞。俄语APT活动5月27日至28日,Volexity和Microsoft发布了针对欧洲和北美外交使团的正在进行的电子邮件活动的详细信息。这些攻击分别来自微软的Nobelium和Volexity的APT29。虽然研究人员确定了恶意程序和可能的目标,但尚不清楚攻击背后的攻击者是哪个,尽管研究人员发现了与Kazuar的链接。将其识别为新的攻击者并将其称为“HotCousin”,攻击始于一封鱼叉式网络钓鱼电子邮件,导致ISO文件容器存储在磁盘上并挂载。这样,受害者就会在资源管理器窗口中看到一个看起来像文件夹的LNK文件。如果受害者双击它,LNK会执行一个用.NET编写的名为BoomBox或DLL的加载程序。执行链最终以将CobaltStrike信标负载加载到内存中结束。根据已发表的研究,目标很广泛,但主要集中在欧洲和北美的外交机构:根据与恶意程序捆绑的诱饵文件的内容,这种评估似乎是准确的。家庭运动于1月开始,有选择地针对,并在5月结束之前以缓慢的速度推进。根据使用类似工具标记的其他CobaltStrike有效载荷和加载器,有迹象表明该攻击者之前的活动至少可以追溯到2020年10月。讲中文的APT活动几个不同的受损网络。该集群以使用以前未知的Windows内核模式rootkit和复杂的多阶段恶意软件框架而著称,该框架旨在提供对受感染服务器的远程控制。前者用于向调查人员和安全解决方案隐藏用户模式恶意程序的工件,同时演示一个有趣的加载方案,该方案涉及一个名为“CheatEngine”的开源项目的内核模式组件,以绕过Windows驱动程序程序签名强制执行机制。研究人员能够确定该工具集早在2020年7月就已投入使用,主要针对东南亚目标,包括数家政府机构和电信公司。由于这是一个长期存在的行动,涉及知名度高的受害者、先进的工具集,并且与已知攻击者没有任何联系,因此研究人员决定将底层集群命名为“GhostEmperor”。APT31(又名ZIRCONIUM)是一个中国黑客程序。攻击者设置了一个ORB(操作中继盒)基础设施,其中包含多个受害者的SOHO路由器,目标是位于欧洲(也可能是其他地方)的组织。截至5月的报告,研究人员已经发现这些ORB被用于中继CobaltStrike通信和匿名代理目的。APT31可能将它们用于其他植入和终止,例如,漏洞利用或恶意程序暂存。APT31部署的大部分基础设施包括受害者的Pakedge路由器(RK1、RE1和RE2)。这个鲜为人知的开发商专门从事小型企业路由器和网络设备。到目前为止,研究人员还不知道恶意软件利用了哪个特定漏洞来破坏路由器。研究人员目前无法更多地了解这项活动,尽管他们将继续追踪。继研究人员之前关于EdwardsPhesant的报告后,DomainTools和BitDefender发表了关于针对东南亚目标的恶意活动的文章,研究人员认为这是EdwardsPhesent活动的一部分,具有很高的可信度。在跟踪攻击者的活动、分析第三方发现或提供的样本以及调查公共IoC的过程中,研究人员发现了一个更新的DropPhone植入程序、一个由FoundCore的shellcode加载的附加植入程序、几个可能的新攻击文档和恶意域名,以及其他目标。虽然研究人员认为研究人员并不了解这组活动的全貌,但研究人员本季度的报告标志着在理解其范围方面又向前迈出了重要一步。2月,一个带有中文标识符的APT入侵了蒙古的一家证书颁发机构,并用恶意下载程序替换了数字证书管理客户端软件。研究人员追踪到该组织作为BountyGlad的活动,相关基础设施被识别并用于其他几起事件,例如香港对WebSphere和WebLogic服务的服务器端攻击;在客户端,木马化的FlashPlayer安装程序。通过这次供应链攻击,该组织展示了其复杂的战略攻击特征。虽然在证书颁发机构等高价值网站上替换合法安装程序需要中等水平的技能和协调,但它在技术上与ShadowHammer一样复杂。虽然该组织部署了相当有趣但简单的隐写术来掩盖其shellcode,但研究人员认为它可能是多年来使用公开可用代码生成的。在2020年期间,与该组织相关的先前活动也严重依赖鱼叉式网络钓鱼和CobaltStrike。一些活动涉及PowerShell命令和加载程序变体,这些变体与研究人员最近报告中介绍的下载程序不同。除了鱼叉式网络钓鱼之外,该组织似乎还依赖公开的漏洞来渗透未打补丁的目标系统。他们使用植入程序和C2(命令和控制)代码,这些代码是公开可用和在多个说中文的APT之间私下共享的组合。研究人员能够跨多个事件连接基础设施。其中一些亮点是西方2020年的目标。BountyGlad还使用了2020年5月FBIFlashAlert中列出的一些基础设施,这些基础设施针对的是进行COVID-19研究的美国组织。在调查利用TPCon后门的用户时,研究人员检测到加载程序是新的多插件恶意软件框架的一部分,研究人员将其命名为“QSC”,它允许攻击者在内存中加载和运行插件。基于受害者学以及这些团体使用的基础设施和其他已知工具之间的一些重叠,研究人员将此框架的开发归因于华语地区的一个组织。到目前为止,研究人员已经观察到恶意程序在内存中加载命令shell和文件管理器插件。根据发现的最古老样本的编译时间戳,研究人员认为该框架自2020年4月以来一直在野外使用。但是,研究人员的跟踪表明该框架仍在使用中,研究人员检测到的最后一次活动是今年三月。本月早些时候,RostelecomSolar和NCIRCC发布了一份联合公开报告,描述了针对俄罗斯政府机构网络的一系列攻击。该报告描述了一个以前不为人知的攻击者利用一个攻击链,该攻击链导致部署了两个植入物——WebDav-O和Mail-O。这些与其他后开发活动相结合,导致目标组织受到网络范围的攻击,从而导致敏感数据外泄。研究人员能够通过跟踪分析将WebDav-O植入程序的活动追溯到至少2018年,这是一次针对白俄罗斯政府的攻击。根据研究人员的调查,研究人员能够找到恶意程序的其他变体,并观察到攻击者在受感染设备上执行的一些命令。研究人员发现了一系列针对特定地区电信运营商的活动,其中大部分活动发生在2020年5月至2020年10月之间。虽然该活动使用了多个恶意软件系列和工具,但基础设施、暂存目录和国内目标配置文件表明存在关联它们之间。攻击者部署了一个以前未知的后门作为主要植入物,研究人员将其称为“TPCon”。它后来被用于执行侦察和部署一个后开发工具集,该工具集主要由目标组织内的公开可用工具组成。研究人员还发现了其他以前未知的活动后门,研究人员将其称为“evsroin”,用作二次植入。另一个有趣的发现是加载KABA1植入变体的相关加载程序(在暂存目录中找到)。KABA1是一种用于攻击整个南海目标的植入物,研究人员将其归因于2016年NaikonAPT。另一方面,在受影响的主机上,研究人员发现了其他几个由说中文的攻击者共享的恶意软件家族,例如ShadowPad和Quarian后门。这些似乎与TPCon/evsroin事件没有直接联系,因为支持基础设施似乎是完全独立的。其中一个ShadowPad样本似乎是在2020年检测到的,而其他样本是在2019年检测到的。除了Naikon之外,研究人员还发现与之前报道的IceFog和IamTheKing活动有一些重叠。本文翻译自:https://securelist.com/apt-trends-report-q2-2021/103517/
