更有针对性的攻击Cycldek相关攻击卡巴斯基实验室研究人员在4月发现了一个名为“FoundCore”的文件,该恶意软件样本是在对位于某知名组织的攻击中发现的在越南。经分析,其攻击功能较“三步DLL侧载法”有较大提升。所谓的“三步DLL侧面加载方法”是合法的可执行文件,其侧面加载的恶意DLL和编码的有效负载通常在自解压文件中执行释放程序本身。在这个例子中,shellcode被严重混淆了。该文件的加载程序被发现非常有趣,以至于研究人员决定以此为基础跟踪研究人员的目标恶意软件逆向工程课程。最终的有效载荷是一个远程管理工具,可以让操作员完全控制受害计算机。与服务器的通信可以通过使用RC4加密的原始TCP套接字或通过HTTPS进行。在研究人员看到的绝大多数攻击示例中,FoundCore通过打开从static.phongay[.]com下载的恶意RTF文件来执行,这些文件都是使用RoyalRoad生成的,并试图利用CVE-2018-0802。所有这些文件都是空白的,表明存在触发RTF文件下载的预文件(可能通过鱼叉式网络钓鱼或以前的感染传递)。一次成功的攻击导致攻击者进一步部署名为DropPhone和CoreLoader的恶意软件。根据研究人员的跟踪分析,数十个组织受到影响,这些组织属于政府或军队部门,或与卫生、外交事务、教育或政治垂直相关的其他组织。80%的目标在越南,其余在中亚和泰国。Windows的桌面管理器漏洞在野外使用在分析CVE-2021-1732漏洞时,研究人员发现了另一个零日漏洞。该漏洞由DBAPPSecurity威胁情报中心最先发现,并被BITTERAPT组织利用。研究人员在2月份向微软报告了这个新漏洞,在确认这确实是一个零日漏洞后,微软发布了一个针对新零日漏洞的补丁(CVE-2021-28310)作为其4月份安全部分的一部分更新。CVE-2021-28310是桌面窗口管理器(dwm.exe)中dwmcore.dll中的越界(OOB)写入漏洞。由于缺乏边界检查,攻击者能够创造一种情况,允许他们使用DirectCompositionAPI在受控偏移处写入受控数据。DirectComposition是Windows8中引入的Windows组件,用于支持过渡、效果和动画的位图合成,并支持来自不同来源(GDI、DirectX等)的位图。该漏洞最初是由卡巴斯基的ExploitPreventionTechnology和相关检测记录确定的。在过去的几年里,卡巴斯基在其产品中内置了多项漏洞利用保护技术,已检测到多个零日漏洞。漏洞,并一次又一次地证明了它们的有效性。研究人员认为,该漏洞可能已被一些潜在的攻击者广泛利用,并可能与其他浏览器漏洞结合使用,以逃避沙箱或??获得系统权限以进行进一步访问。TunnelSnake活动Windowsrootkit,尤其是运行在内核空间的那些,在系统中享有高特权,允许它们拦截并悄悄篡改底层操作系统执行的核心I/O操作,例如读取或写入文件,或处理传出网络数据包。它们能够融入操作系统本身的结构,这就是Rootkit实现隐身和规避的方式。然而,随着时间的推移,在Windows中部署和执行Rootkit组件变得越来越困难。Microsoft引入的驱动程序签名实施和内核补丁保护(PatchGuard)使篡改系统变得更加困难。因此,市场上的WindowsRootkit数量急剧下降,大多数仍然活跃的Rootkit经常被用于APT攻击。在名为TunnelSnake的活动中,rootkit很少用于攻击。攻击者主要针对东南亚和非洲的外交机构。他们攻击了这些目标的外部可访问主机,并成功部署了Moriyarootkit。因为微软引入了强制驱动签名和补丁检测机制。Moriya是一个被动后门,部署在外部可访问的服务器上,通过安装WFP过滤驱动检查所有进入被感染机器的流量,并通过取出带有特征字符串的流量包进行响应,因此它不包含硬编码的C2地址,使得很难追踪攻击者的来源。同时,Moriya在数据包被内核级网络堆栈处理之前对其进行拦截,使安全检测难以检测到。Moriya用于在面向公众的服务器上部署被动后门,建立一个隐蔽的C2(命令和控制)通信通道,并默默地控制恶意软件的行为。该Rootkit早在2019年11月就被研究人员发现。经过跟踪和分析,TunnelSnake至少从2018年开始活跃。由于活动期间附带的Rootkit和其他横向移动工具均不依赖于硬编码的C2服务器,因此研究人员只对攻击者的基础设施有部分了解。然而,除了Moriya之外,大多数检测到的工具都包含以前被中文攻击者使用过的专有和知名恶意软件,为攻击者的来源提供了线索。4月14日至15日,PuzzleMaker研究人员检测到一波针对多家公司的高度针对性攻击。更详细的分析表明,所有这些攻击都利用了GoogleChrome和MicrosoftWindows中的一系列零日攻击。虽然研究人员无法在Chrome网络浏览器中检索用于远程代码执行(RCE)的漏洞,但研究人员能够找到并分析用于逃避沙箱并获得系统特权的特权升级(EoP)漏洞。此EoP漏洞利用已针对最新版本的Windows10(17763-RS5、18362-19H1、18363-19H2、19041-20H1、19042-20H2)进行了微调,并利用了MicrosoftWindows操作系统内核中的两个不同漏洞。研究人员于4月20日向微软报告了这些漏洞,他们将CVE-2021-31955定性为信息泄露漏洞,将CVE-2021-31956定性为EoP漏洞。漏洞利用链试图通过投放器在系统中安装恶意软件。该恶意软件作为系统服务启动并加载有效载荷,这是一个“远程shell”式后门,依次连接到C2以获取命令。研究人员无法找到与已知攻击团体的任何联系或重叠,因此研究人员暂定该活动名为PuzzleMaker。Andariel将勒索软件添加到其工具集中4月,研究人员发现了一个可疑的Word文件,其中包含一个韩文文件名和一个上传到VirusTotal的网络钓鱼站点。该文件包含一个不熟悉的宏,并使用一种新技术来植入下一个有效载荷。研究人员的分析表明,这些攻击使用了两种感染方法,每种方法都有自己的加载程序在内存中执行。攻击者只将最后阶段的有效载荷传递给特定的受害者。Malwarebytes发布了一份报告,其中包含研究人员最初归因于Lazarus组织的同一系列攻击的技术细节。然而,经过深入分析,研究人员得出结论,此次攻击是由Andariel组织(Lazarus的附属组织)所为。从历史上看,Andariel主要针对韩国的组织,这次活动也不例外。研究人员确定了制造业、家庭网络服务、媒体和建筑行业的几名受害者。研究人员还发现了与Andariel组织的其他联系,每个攻击者都有一个独特的习惯,即在攻击的后开发阶段与后门shell进行交互。Windows命令及其选项在这次战役中的使用方式与之前的Andariel战役几乎相同。值得注意的是,除了最后一个后门,研究人员还发现了一个感染了定制勒索软件的受害者。FerociousKitten“FerociousKitten”是一个APT攻击者,似乎以伊朗的波斯语人群为目标,最近才在其攻击中被发现。直到最近,当Twitter上的研究人员将诱饵文件上传到VirusTotal并将其公开时,该攻击才引起关注。研究人员能够扩展关于该组织的一些发现,并提供对其使用的其他变体的分析。被称为“MarkiRAT”的恶意软件从诱饵文件中删除,记录击键、剪贴板内容,并提供文件下载和上传功能,以及在受害者计算机上执行任意命令的能力。“凶猛小猫”至少从2015年开始活跃,旨在劫持Telegram和Chrome应用程序。JSWorm勒索软件的其他恶意软件迭代研究人员最近发表了对名为JSWorm的勒索软件家族的分析,该家族于2019年被发现,此后出现了Nemty、nefilm、Offwhite等变种。每个“重新命名”的版本都对代码、文件扩展名、加密方案、加密密钥、编程语言和分发模型的不同方面进行了更改。JSWorm自出现以来,已经从一个典型的大型勒索软件威胁发展成为主要影响个人用户并获得最大收益的软件。BlackKingdom勒索软件BlackKingdom于2019年首次被发现,并于2020年被发现利用CVE-2019-11510等漏洞进行攻击。在最近的一次活动中,未知攻击者使用勒索软件来利用MicrosoftExchange漏洞(CVE-2021-27065,又名ProxyLogon)。这个勒索软件系列远没有其他勒索软件即服务(RaaS)产品复杂。该恶意软件是用Python编写的,并使用PyInstaller编译成可执行文件。该勒索软件支持两种加密方式,一种是动态生成,另一种使用硬编码密钥。代码分析揭示了在硬编码密钥的帮助下恢复由BlackKingdom加密的文件的可能性。在分析时,已经有一个脚本可以恢复使用嵌入式密钥加密的文件。BlackKingdom在加密文件时更改桌面背景以指示系统被感染,并禁用鼠标和键盘。反编译Python代码后,研究人员发现BlackKingdom的代码库源自GitHub上的一个开源勒索软件构建器。该小组修改了部分代码以添加构建器中最初不可用的功能,例如硬编码键。研究人员无法将BlackKingdom归因于任何已知的威胁组织。Gootkit:DiscreetBanking木马Gootkit是一种复杂的多阶段银行恶意软件,于2014年由DoctorWeb首次发现。最初,它通过垃圾邮件和工具包(如Spelevo和RIG)传播。结合垃圾邮件活动,这些攻击者后来转向受感染的网站,访问者被诱骗下载恶意软件。Gootkits能够从浏览器窃取数据、执行浏览器中间人攻击、键盘记录、截取屏幕截图以及许多其他恶意操作。木马的加载程序执行各种虚拟机和沙箱检查并使用复杂的持久性算法。2019年,Gootkit在经历数据泄露后停止运营,但自2020年11月起再次活跃,大多数受害者位于德国和意大利等欧盟国家。Bizarro银行木马扩展到欧洲Bizarro是另一个银行木马家族,起源于巴西,现在在世界其他地方也有发现。研究人员在西班牙、葡萄牙、法国和意大利发现有人成为攻击目标。该恶意软件已被用于窃取来自不同国家的70家银行客户的凭证。Bizarro通过MSI包传播,受害者从垃圾邮件中的链接下载这些包。启动后,它会从受感染的网站下载ZIP档案。研究人员观察到被黑客入侵的WordPress、Amazon和Azure服务器被木马程序用来存储档案。后门是Bizarro的核心组件,包含100多个命令,允许攻击者窃取网上银行帐户凭据。大多数命令用于显示虚假的弹出消息,并试图诱骗人们输入双因素身份验证代码。该木马还可能使用社会工程学来说服受害者下载智能手机应用程序。APKPure应用中的恶意代码4月初,研究人员在官方APKPure应用商店客户端3.17.18版中发现了恶意代码,这是一种流行的Android应用替代来源。这种情况似乎与CamScanner发生的情况类似,当时该应用程序的开发人员从未经验证的来源实施了广告软件SDK。启动时,HEUR:Trojan-Dropper.AndroidOS.Triada.ap的嵌入式木马植入程序会解压并运行其有效载荷,该有效载荷能够在锁定屏幕上显示广告、打开浏览器选项卡、收集有关设备的信息以及下载其他恶意代码。下载的木马取决于Android版本和最近安装的安全更新。对于相对较新版本的操作系统(Android8或更高版本),它会为Triada木马加载额外的模块。如果设备较旧(未安装安全更新的Android6或7),则可能是xHelper木马。针对AppleM1芯片的恶意软件Apple于去年11月推出了M1芯片。这款新芯片已在其多款产品中取代了英特尔处理器,它基于ARM架构,而不是传统上用于个人电脑的x86架构。这为Apple完全切换到自己的处理器并在单一架构下统一其软件奠定了基础。不幸的是,在其发布后的几个月内,恶意软件作者发布了针对新处理器的恶意软件。供应链攻击尝试使用PHP今年3月,未知的攻击者试图通过将恶意代码引入PHP脚本语言来实施供应链攻击。PHP开发人员使用基于GIT版本控制系统构建的公共存储库对代码进行更改。攻击者试图在代码中添加后门。本文翻译自:https://securelist.com/it-threat-evolution-q2-2021/103597/
