这一年APTs开展了哪些活动?我们可以从他们身上学到什么?这不是一个容易回答的问题,因为研究人员可能只对部分攻击的动机有充分的了解。但是,从不同的角度来探讨这个问题,可以更好地理解发生了什么,并从中获得更多的经验。供应链攻击近年来,针对供应链的攻击已被证明非常成功,示例包括ShadowPad、expertr和CCleaner的后门程序。1月份发现了涉及硬件供应商的复杂供应链攻击,攻击者向供应商的笔记本电脑和台式机提供BIOS、UEFI和软件更新。攻击者在供应商的程序中添加后门,通过官方渠道分发给用户。攻击者将目标MAC地址列表硬编码到木马中,并从攻击中发现的200多个样本中提取了600多个唯一MAC地址。具体分析报告:ShadowHammerLeaks第三季度针对伊朗活动的APT泄密事件。3月,有人通过Dookhtegan或LabúuDookhtegan开始使用标签apt34发推文。他们共享了几份文件,其中包括几名黑客受害者的登录名和密码、工具、基础设施、攻击者的简历的详细信息以及2014年至2018年期间的网络工具列表。4月22日,以Bl4ck_B0X的名义创建了一个GreenLeakers频道??。该频道的目的是发布有关MuddyWaterAPT组成员的信息。除了免费信息,Bl4ck_B0X还将出售与MuddyWater相关的“高度机密”信息。4月27日,GreenLeakersTelegram频道发布了三张截图,其中包含MuddyWaterC2服务器的截图。5月1日,该频道对公众关闭并设为私有。关闭的原因尚不清楚。最后,一个名为HiddenReality的网站公布了与伊朗林蛙研究所相关的泄密信息。这是两个月内第三次披露该伊朗组织的详细信息。这次泄露与其他泄露不同,它允许任何人浏览泄露文档的网站。该网站包含与RanaInstitute的CNO(计算机网络操作)功能相关的内部文件、聊天消息和其他数据,以及有关受害者的信息。以前的泄漏更多地集中在工具、源代码和参与者信息上。ShadowBrokersShadowBrokers包含一个Python脚本sigs.py,它具有许多功能来检查系统是否已被其他攻击者破坏。每项检查都在系统中查找唯一的签名实现,sigs.py列出了44个条目,其中许多条目与尚未公开的未知apts相关。2019年sigs.py文件的第27个函数名为DarkUniverse。DarkUniverse与ItaDuke活动相关,存在代码重叠。主要组件是一个简单的DLL,只有一个导出函数,用于实现持久控制、与C2的通信以及对其他模块的控制。在西亚和东北非发现了约20名受害者,包括医疗机构、原子能机构、军事组织和电信公司。手机攻击手机攻击是许多APT工具集的标准组成部分。今年5月,英国《金融时报》报道称,黑客利用WhatsApp的零日漏洞窃听用户、读取加密聊天记录、开启麦克风和摄像头、安装间谍软件,甚至进行进一步监控。WhatsApp触发了缓冲区溢出,使攻击者可以控制应用程序并执行任意代码,WhatsApp迅速发布了针对该漏洞的补丁。10月,该公司提起诉讼,指控总部位于以色列的NSOMining公司利用该漏洞。WhatsApp声称NSO出售的技术被用于针对20个不同国家的1,400多名客户的手机,其中包括人权活动家、记者和其他人。7月,该报告介绍了2018年开发的最新版本的FinSpyforAndroid和iOS。FinSpy的开发者将该软件出售给世界各地的政府和执法机构,这些机构使用它在各种平台上收集私人用户信息,例如联系人,消息、电子邮件、日历、GPS位置、照片、内存文件、电话录音和数据。Android植入程序需要通过一个已知漏洞进行root访问,如果设备尚未越狱,则需要对受害者设备进行物理访问。最新版本包含几个新功能。在最近的一项研究中,最新版本在近20个国家/地区被发现,真实的受害者人数可能要高得多。今年8月,GoogleProjectZero团队发布了在野发现至少14个iOS零日漏洞的分析报告,攻击者在5个攻击链中利用它们来提权。从三年前开始,攻击者就开始使用一些被指控的网站作为攻击平台。虽然没有关于这些网站或它们是否仍然活跃的详细信息,但谷歌表示这些网站“每周接待成千上万的访问者”。9月,零日漏洞经纪公司Zerodium表示,Android零日漏洞比iOS更有价值,该公司愿意为Android零日漏洞支付250万美元,之前曾为远程iOS支付200万美元越狱。相比之下,Zerodium还减少了苹果一键攻击的支出。同一天,在v412(Video4Linux)驱动程序中发现了一个高危零日漏洞。该漏洞可能导致权限提升,未包含在谷歌9月的安全更新中。几天后,Android系统的一个缺陷被发现,导致超过10亿部三星、华为、LG和索尼智能手机容易受到攻击,攻击者可以使用短信完全访问设备上的电子邮件。持续的工具改进1.Turla在调查中亚地区的恶意活动时,发现了一个名为Tunnus的新后门,属于Turla组织。它是一种基于.NET的恶意软件,能够在受感染的系统上运行命令或文件操作并将结果发送到C2。到目前为止,攻击者已经使用易受攻击的WordPress安装构建了他们的C2基础设施。今年,Turla还将其JavaScriptKopiLuwak恶意软件封装在一个名为Topinambour的投放程序中,这是一个新的.NET文件,攻击者使用该文件通过合法软件程序(如受感染的VPN)的安装包进行传播和投放。KopiLuwak。该恶意软件几乎完全是“无文件”的:在感染的最后阶段,用于远程管理的加密木马嵌入计算机的注册表中,供以后访问。该组织使用两个相似版本的KopiLuwak、.NETRocketMan木马和PowerShellMiamiBeach木马进行网络间谍活动。此外,还发现了一种新的COMpfun恶意软件。攻击者使用原始的COMpfun作为下载器,根据一些样本中留下的a.pdb路径将其命名为Reductor。攻击者付出了相当大的努力来操纵Reducer中的数字根证书,并使用与主机相关的唯一标识符对出站TLS通信进行签名。该恶意软件将嵌入式根证书添加到目标主机,并允许攻击者通过管道远程添加其他证书。2.ZebrocyZebrocy继续使用各种编程语言向其库中添加新工具。Zebrocy在东南亚的一个外交机构中部署了一个已编译的PythocyDbg脚本。该模块主要为秘密情报收集提供网络代理和通信调试功能。2019年初,Zebrocy使用Nimrod/Nim(一种语法类似于Pascal和Python的编程语言,可编译为JavaScript或C)。9月,Zebrocy对包括北约在内的欧洲多个目标进行了鱼叉式网络钓鱼,试图获取电子邮件通信、凭证和敏感文件。与之前的Zebrocy活动类似,这些电子邮件使用与目标相关的内容和包含无害文档附件的zip文件,以及具有相同文件名的可执行文件。该组织还使用Word模板从合法的Dropbox文件共享站点获取文件。3.Platinum在今年6月发现了一组异常样本,主要针对南亚和东南亚国家的外交、政府和军事组织,最终归因于技术最先进的APT之一Platinum。在此活动中,攻击者使用复杂的隐写术技术来隐藏通信。今年晚些时候,Platinum组织使用的新后门Titanium在一次网络攻击活动中被发现。该恶意软件与ProjectC工具集有相似之处,后者于2016年被检测为横向移动工具包。.4.Lazarus2018AppleJeus报告的主要发现是Lazarus组织针对MacOS系统。从那时起,拉撒路扩大了他们的影响范围。今年出现了针对使用PowerShell控制Windows系统和MacOS恶意软件的Apple客户的新活动。Lazarus还针对韩国的一家移动游戏公司,目的是窃取应用程序源代码。Lazarus一直在快速更新其工具。Andariel是Lazarus的一个小组,专注于韩国的地缘政治和金融情报。攻击者使用易受攻击的Weblogic服务器构建C2,样本使用CVE-2017-10271。成功入侵后,攻击者植入了带有韩国安全软件供应商合法签名的恶意软件。该恶意软件是一个名为ApolloZeus的后门。这个后门使用了一个相对较大的shellcode,这使得分析变得困难。此外,还发现了几个相关样本,以及攻击者用来传播它的文件。5.BlueNoroff在第三季度追踪到新的BlueNoroff活动,确认受害者是缅甸的一家银行。研究人员立即联系银行,分享他们发现的IOC,并获得攻击者横向移动工具的访问权限。攻击者使用公共登录凭据转储程序和自制的PowerShell脚本进行横向移动。BlueNoroff还使用了一种新的恶意软件结构,可以减慢分析速度。根据命令行参数,此恶意软件可以充当后门或隧道。还发现了另一种类型的PowerShell脚本,主要针对土耳其。此PowerShell脚本的功能与之前使用的脚本类似,但BlueNoroff不断对其进行更改以逃避检测。6.DarkHotel在今年10月偶然发现了一个样本。使用的诱饵文件和图片包含朝鲜海外居民的联系方式。所有的诱饵都包含有关朝鲜半岛国庆和朝鲜国庆的内容,以及外交问题和商业关系。.攻击者使用鱼叉式网络钓鱼和多阶段感染来植入定制的恶意软件。研究发现,此次攻击活动属于DarkHotelAPT组织。7.LambertsLamberts是一个或多个攻击者使用的一系列复杂的攻击工具。该武器库包括网络驱动后门、模块化后门、破坏性攻击等。SilverLambert是GrayLambert的升级版,后者是一个成熟的后门程序,在中国航空领域找到了踪迹。VioletLambert是一个模块化后门,于2018年开发和部署,可运行在各种版本的Windows上,包括WindowsXP,以及Vista和更高版本的Windows。在中东关键基础设施的计算机上也发现了其他新的Lamberts后门。恶意软件监听网络,等待ping,然后执行我们无法破译的有效负载。后门被发现后不久,所有受感染的计算机都处于离线状态。8.LuckyMouse今年早些时候检测到LuckyMouse赞助的活动,该活动至少从2018年4月开始就一直以越南政府和海外外交为目标。他们利用Web服务漏洞作为主要的初始感染入口,而网络钓鱼消息中使用的诱饵文件展示他们对运算符的灵活使用。攻击者还将HTran-TCP代理源代码包含到恶意软件中,从而重定向流量。一些NetBot配置数据包含LANip,它从本地网络中的另一台受感染主机下载下一阶段程序。据检测,内部数据库服务器是目标之一。在最后一步,攻击者使用32位和64位木马注入系统进程内存。从2019年初开始,LuckyMouse在中亚和中东的活动出现激增。攻击者通过直接攻击、鱼叉式网络钓鱼、水坑攻击等方式将电信运营商、大学和政府作为目标。9.HoneyMyteHoneyMyte已经活跃了好几年。在过去的几年里,该组织使用不同的技术对缅甸、蒙古、埃塞俄比亚、越南和孟加拉国的政府以及驻巴基斯坦、韩国、美国、英国的大使进行了攻击,比利时、尼泊尔、澳大利亚和新加坡博物馆。今年,该组织以与自然资源管理相关的缅甸政府机构和一个大陆集团为目标,其主要动机之一是收集地缘政治和经济情报。10.Icefog自2011年以来,Icefog一直以韩国、日本和中亚的政府机构、军事承包商、海事和造船组织、电信运营商、卫星运营商、工业和高科技公司以及大众媒体为目标。该组织的行动在2013年放缓,2016年略有增加,从2018年初开始,Icefog开始对中亚政府机构和军事承包商进行大规模攻击。在最新一波攻击中,感染源于一封包含恶意文档的网络钓鱼电子邮件,该文档利用已知漏洞并最终部署有效负载。从2018年到2019年初,有效载荷是典型的Icefog后门。自2019年5月以来,攻击者一直使用PoisonIvy作为他们的主要后门。PoisonIvy使用一种称为“加载顺序劫持”的技术来加载恶意DLL,这种技术非常常见,并且已在之前的Icefog活动中使用过。还检测到使用从GitHub下载的TCP扫描器的后门、Mimikatz变体、键盘记录器和Quarian。Quarian后门用于在受害者的基础设施内创建隧道以避免网络检测。它的功能包括操纵远程文件系统、获取有关受害者的信息、窃取保存的密码、下载或上传任意文件、使用端口转发创建隧道、执行任意命令和启动反向shell。“新人”的演变1.ShaggyPather2018年1月的一份报告讨论了ShaggyPather,这是一种以前未被发现的针对台湾和马来西亚的恶意软件。相关活动可追溯到十多年前,2004年编制了类似的代码。最近的活动发生在7月的印度尼西亚和3月的叙利亚。较新的2018和2019后门代码添加了新的混淆,不再保留明文C2字符串。它使用的外壳SinoChopper不仅可以进行主机识别和后门投递,还可以进行邮件窃取等活动。2.TajMahal今年4月,研究人员发布了一份关于TajMahal的报告,TajMahal是一个未被发现的APT框架,在过去五年中一直处于活跃状态。它是一个高度复杂的间谍软件框架,包括后门程序、加载器、C2通信器、录音机、键盘记录器、屏幕和网络摄像头抓取器、文档和密码密钥窃取器以及带有加密文件系统的文件索引器在其中发现了多达80个恶意模块,一个在APT工具集中见过的最大数量。该恶意软件有两个不同的包,自称为东京和横滨,攻击者使用东京作为感染的第一阶段,在目标受害者身上部署功能齐全的横滨。测试显示只有一名受害者,来自中亚国家的外交使团,研究人员认为可能还有其他人尚未找到。3.今年二月,FruityArmor和SandCat检测到有人试图利用Windows中的漏洞。进一步分析发现win32k.sys存在零日漏洞,被FruityArmor和SandCat利用。FrutiyArmor和SandCat活动不同,两者同时使用相同的漏洞,这似乎表明第三方正在向他们提供漏洞。4.不明攻击者于2019年2月在俄罗斯南部发现了一次有针对性的攻击,使用的是一种名为Cloudmid的未知恶意软件。该间谍软件通过电子邮件分发,伪装成来自一家知名俄罗斯安全公司的VPN客户端。到目前为止,还无法将此活动与任何已知的攻击者联系起来。恶意软件本身是一个简单的文件窃取程序。2月份发现了针对印度军事团体的行动,但无法归因于任何已知的攻击者。攻击者依靠水坑和鱼叉式网络钓鱼来感染受害者。他们能够攻陷陆战研究中心(CLAWS)的网站,用它来托管恶意文件来分发NetwireRAT。5.DADJOKE在第三季度发现了DADJOKE的恶意软件活动。该恶意软件于2019年1月首次在野外使用,此后不断发展。自1月以来,该恶意软件只出现在少数几个活动中,所有活动都针对东南亚地区的政府、军队和外交机构。最近一次是在8月,目标是一个军事组织的工作人员。隐私问题1月17日,安全研究员TroyHunt报告称,超过7.73亿封电子邮件和2100万条密码记录遭到泄露。这些数据被称为Collection#1,最初是在云服务MEGA上共享的。Collection#1只是约1tb泄露数据的一小部分,总数据分为7部分,通过数据交易论坛分发。Collection#1只是大量泄露凭证的一部分,其中包括22亿条被盗账户记录。另一起数据泄露事件发生在2月。黑客从16家公司窃取的6.17亿个帐户详细信息正在DreamMarket上出售。黑客针对的公司包括Dubsmash、MyFitnessPal、ArmorGames和CoffeeMeetsBagel。随后,来自另外八家公司的数据被发布到同一市场。黑客在3月份发布了另外6家公司的被盗数据。随着有关电子邮件地址和密码泄露的新闻报道层出不穷,窃取这种“传统”身份验证形式可能会造成严重后果,但其他身份验证方法遭到破坏的影响可能更为严重。8月,两名以色列研究人员在一个可公开访问的数据库中发现了来自SupremaBiostar2生物控制系统的指纹、面部识别数据和其他个人信息。生物识别数据的泄露尤其令人担忧。泄露的密码可以更改,但生物识别技术是终身的。智能设备在我生活的新领域的广泛使用为攻击者提供了更大的数据池。例如,家中的智能音箱可以聆听对话的影响。社交媒体巨头拥有越来越多的个人信息,这些信息对犯罪分子和APT组织等来说极其宝贵。
