三年多来,卡巴斯基全球研究与分析团队(GReAT)一直关注APT攻击活动的变化,并发布相关报告每季度趋势报告分析。本文中的分析基于卡巴斯基的网络攻击情报研究。本文重点介绍卡巴斯基在2020年第三季度观察到的APT活动。最值得注意的发现是卡巴斯基最近发现了DeathStalker的活动,这是一个独特的网络攻击组织,似乎只针对律师事务所和金融业公司。该组织对收集敏感商业信息的兴趣使卡巴斯基相信DeathStalker只是一群提供黑客服务或充当金融界信息经纪人的雇佣兵。网络攻击者的活动首先通过名为Powersing的基于PowerShell的植入程序引起了卡巴斯基的注意。本季度,卡巴斯基打破了DeathStalker基于LNK的Powersing攻击工作流程的一个线索。虽然整个工具集没有什么突破性的东西,但卡巴斯基相信防御者可以通过了解成功的网络攻击者使用的现代(尽管技术含量低)感染链的基础知识来获得很多价值。DeathStalker目前正在继续开发和使用这种攻击技术,采用与2018年以来基本相同的策略,同时加大逃避检测的力度。早在8月,卡巴斯基关于DeathStalker活动的公开报告就总结了该组织使用的三种基于脚本语言的工具链:Powersing、Janicab和Evilnum。在首次公开报告Evilnum后,卡巴斯基于2020年6月下旬检测到一批新的植入程序,显示出DeathStalker迄今为止的静态攻击方式发生了有趣的变化。例如,恶意程序使用嵌入的IP地址或域名直接连接到C2服务器,而之前的变体至少使用两个死点解析器(DDR)或网络服务(如论坛和代码共享平台),以获取真实C2的IP地址或域名。有趣的是,在这次活动中,攻击者并不局限于发送鱼叉式钓鱼邮件,而是通过多封邮件积极与受害者互动,诱使他们打开诱饵,以增加被入侵的机会。此外,除了在整个攻击周期中使用基于python的植入程序之外,无论是在新版本还是旧版本中,这是卡巴斯基第一次看到攻击者以PE二进制文件作为中间阶段加载Evilnum,同时使用先进的技术来规避和绕过安全产品.此外,卡巴斯基还发现了另一种复杂但技术含量低的植入程序,卡巴斯基将其归因于DeathStalker,因为其传播工作流程使用MicrosoftWord文档并投放了以前未知的PowerShell植入程序。程序,该植入程序依赖DNSoverHTTPS(DoH)作为C2通道,卡巴斯基将此植入程序称为PowerPepper。在最近对目标活动的调查中,卡巴斯基发现了一个UEFI固件映像,其中包含恶意组件,这些组件会将以前未知的恶意程序投放到磁盘。卡巴斯基的分析显示,发现的固件模块基于一个名为Vector-EDK的已知引导加载程序,而投放的恶意软件是其他组件的下载程序。通过研究该恶意程序的独特特征,卡巴斯基从研究中发现了自2017年以来被用于攻击的一系列相似样本,它们具有不同的感染媒介。虽然大部分业务逻辑是相同的,但卡巴斯基可以看出其中一些具有附加功能或以不同方式实现。因此,卡巴斯基推断出大部分样本来自卡巴斯基称为MosaicRegressor的更大框架。一些框架组件和活动中使用的C2基础设施中的代码重叠表明,这些攻击背后有一个策划者,可能与使用Winnti后门的团体有关。欧洲地区的攻击活动自发布关于WellMess的初步报告(参见APTTrendsReportQ22020)以来,英国国家网络安全中心(NCSC)已与加拿大和美国政府就涉及WellMess的最新活动发布了联合技术咨询.具体来说,这三个政府都将针对COVID-19疫苗研究的恶意程序的使用归咎于Dukes家族(又名APT29和CozyBear)。该通报还详细介绍了此次活动中使用的另外两个恶意程序,即SOREFANG和WellMail。根据直接归因公开声明、咨询中提供的新细节以及自卡巴斯基初步调查以来发现的新信息,新发布的报告补充了卡巴斯基先前关于网络攻击的报告。尽管NCSC公告提高了公众对这些最近攻击中使用的恶意程序的认识,但三个政府的归属声明并未提供明确证据供其他研究人员深入研究。因此,卡巴斯基目前无法修改他们最初的声明;卡巴斯基仍然坚持认为WellMess活动是由以前不为人知的网络参与者执行的。如果有新的证据可用,卡巴斯基实验室将调整此声明。俄语活动今年夏天,卡巴斯基发现了一个未知的多模块C++工具集,可追溯到2018年的工业间谍活动。到目前为止,卡巴斯基没有发现代码、基础设施或TTP与已知恶意活动有任何相似之处。到目前为止,卡巴斯基认为这个工具集及其背后的团队都是新的。它的开发人员将工具集命名为MT3,卡巴斯基基于这个首字母缩写词将工具集命名为MontysThree。该恶意程序被配置为搜索特定类型的文档,包括存储在可移动媒体上的文档。它包含正确俄语的自然语言工件和查找仅存在于西里尔语版本中的Windows目录的配置,同时显示一些虚假的语言标志,表明它是由讲中文的人开发的。恶意程序使用合法的云服务,如谷歌、微软和Dropbox进行C2通信。对中国地区的攻击今年早些时候,卡巴斯基实验室在亚洲和非洲的区域政府间组织网络中发现了一个活跃的、以前不为人知的隐形植入程序,名为Moriya。该工具用于通过使用C2服务器建立隐蔽通道并将shell命令及其输出传递给C2来控制这些组织中面向公众的服务器。使用Windows内核模式驱动程序可以简化此功能,使用该工具作为正在进行的卡巴斯基活动的一部分,称为TunnelSnake。该Rootkit于5月在目标计算机上被检测到,该活动可追溯到2019年11月,并在首次感染后在网络上持续存在了几个月。卡巴斯基发现了另一个工具,该工具显示与该Rootkit有明显的代码重叠,这表明该开发人员至少从2018年开始活跃。由于Rootkit和其他横向移动工具不依赖于硬编码的C2服务器,因此卡巴斯基只能获得部分预测攻击者的基础设施。也就是说,除了Moriya之外,大多数检测到的工具都包含专有和众所周知的恶意程序,这些程序以前曾被说成是说中文的攻击者使用的,从而提供了对攻击者来源分析的深入了解。线索。PlugX在东南亚和东亚以及非洲得到有效和大量使用,但在欧洲很少使用。PlugX代码库已被多个中国APT组织使用,包括HoneyMyte、Cycldek和LuckyMouse。政府机构、非政府组织和IT服务组织似乎是这些攻击的目标,虽然新的USB传播功能有机会在网络上推送恶意程序,但受到攻击的MSSP/IT服务组织似乎是有针对性传播的潜力攻击向量,CobaltStrike安装程序包被推送到多个系统以进行初始PlugX安装。根据卡巴斯基的观察,上个季度的大部分活动似乎都集中在蒙古、越南和缅甸。到2020年,这些国家将至少有数千个系统使用PlugX。卡巴斯基发现了一个持续的活动,可追溯到5月,利用Ke3chang开发的新版本Okrum后门,也称为APT15,该组织在2012年首次发起攻击。-世界各地的价值目标。该组织的活动最早可以追溯到2010年。根据FireEye2013年的报告,该组织的目标是欧洲外交机构。此更新版本的Okrum使用独特的侧载技术使用经过验证码签名的WindowsDefender二进制文件。攻击者使用隐写术将主要有效负载隐藏在防御者可执行文件中,同时保持其数字签名有效,从而降低被发现的机会。卡巴斯基之前从未见过这种用于恶意目的的方法。卡巴斯基已经观察到一个受害者,一家位于欧洲的电信公司。9月16日,美国司法部公布了三份与黑客有关的起诉书,据称这些黑客与APT41和其他攻击设备有关,包括Barium、Winnti、WickedPanda和WickedSpider。此外,在美国司法部与包括总检察长办公室在内的马来西亚政府合作后,两名马来西亚公民也于9月14日在马来西亚实兆远被捕,罪名是“密谋从针对电子游戏行业的电脑攻击中获利”..第一份起诉书称,被告成立了一家名为“白帽”的精英网络安全公司,名为成都404网络技术有限公司,对全球数百家公司的计算机进行攻击,他们使用专门的恶意程序进行黑客攻击,例如什么网络安全专家称之为“PlugX/Fast”、“Winnti/Pasteboy”、“Shadowpad”、“Barlaiy/PoisonPlug”和“Crosswalk/ProxIP”。起诉书包含几个间接的IoC,允许卡巴斯基将这些攻击与近年来发现和调查的两个大规模供应链活动联系起来,ShadowPad和ShadowHammer。2017年7月,卡巴斯基实验室的研究人员发现了ShadowPad,这是一个隐藏在全球数百家企业使用的服务器管理程序中的后门。这种恶意代码嵌入在这些程序的更新中,这些程序广泛应用于金融服务、教育、电信、制造、能源和运输行业。2019年,卡巴斯基实验室发现了一种通过供应链攻击影响大量用户的(APT)攻击。该研究发现,OperationShadowHammer背后的威胁行为者以ASUSLiveUpdate应用程序的用户为目标,并至少在2018年6月至11月期间向他们的设备注入后门,危及全球超过500,000名用户的安全。在下一篇文章中,我们将对本季度中东地区发生的APT攻击进行概述。
