2020年度安全性工作人员追踪900好几个高級危害主题活动,可在月度报告中寻找详细资料。文中将集中化探讨以往12个月中APT攻击的特性。
Windows以外
Windows依然是APT的首要侧重点,但2022年也观查到了很多非Windows的总共主题活动。例如,Lazarus的MATA恶意软件架构。4月发现MATA拓展到Windows和Linux之外的系统软件,包含macOS。Lazarus利用宏置入的Office文本文档并依据受害人的体系散播PowerShell或macOS恶意软件。
安全性工作人员公布了Penquin大家族数据分析报告,并在5月发布相关Penquin_x64的技术指标分析。Penquin_x64是Turla的Penquin GNU/Linux侧门组合,剖析强调Turla很有可能会利用Penquin开展除传统式情报信息之外的别的实际操作。
在2020年第三季度APT发展趋势汇报中叙述了TunnelSnake攻击主题活动。攻击者利用了开源系统专用工具Earthworm和Termite,转化成远程控制shell并在服务器中间创建隧道施工通讯。这种专用工具可以在IoT机器设备等多种多样系统架构上运作,说明攻击者早已将该类机器设备做为新的总体目标。
UEFI固定件感柒
在对于一次攻击的调研中发现了一个UEFI固定件印象,固定件控制模块是根据Vector EDK的bootkit,嵌入的恶意软件是下载工具。根据剖析获取恶意软件特点,发现了一系列相近的样版,这种样版自2017年至今一直被用以外交关系机构,他们的领域模型绝大多数是一致的,但一些额外作用或在完成上各有不同。
手机上故意攻击
2022年发现很多对于移动应用平台的APT机构。2022年1月,发现了一个利用了详细远程控制iOS攻击链的水洼。该网址对于中国香港客户设计方案。现阶段采用的全是已经知道系统漏洞,攻击者已经改善系统漏洞利用专用工具,以对于大量的iOS版本号和机器设备。它还适用Android、Windows、Linux和macOS等服务平台。
2022年8月,科学研究工作人员发布了有关全透明部族的第二份数据分析报告。主要包括该机构用于攻击渗入安卓设备的恶意软件。木马程序装扮成印度政府开发设计的Aarogya Setu COVID-19追踪应用软件,关键对于印度的的国防工作人员,根据WhatsApp、短消息、电子邮箱或社交媒体推送故意连接开展散播。
2022年6月,观查到一组新的故意安卓版下载程序流程,这种下载工具从2019年12月起就早已发生在互联网中,关键对于塔吉克斯坦。美国NTISB在1月份的一份报告书中剖析了恶意软件共享资源同样的C2s,总体目标是塔吉克斯坦军队组织,攻击者利用WhatsApp信息内容、短消息、电子邮箱和社交媒体做为最开始的传播媒体。
官方网提名
5月,法国我国网络信息安全核心(NCSC)和美国国土安全局(DHS)公布协同警示,两国之间都是在调研对于药业公司,医学临床研究机构和药业公司的互联网攻击事情。
7月30日,欧洲理事会对六名本人和三个实体线实行封禁,这种本人和实体线参加了好几个互联网攻击主题活动,封禁包含限令旅游和财产冻洁,严禁欧盟国家本人和实物向列出工作人员给予资产。
9月,美国司法部门公布了三份网络黑客民事起诉书,这种网络黑客与APT41和其它互联网攻击主题活动相关,包含Barium, Winnti, Wicked Panda,Wicked Spider。美国司法部门与新加坡政府部门协作以后,两位新加坡人民于9月14日被抓,罪行是“不法电子计算机侵入”。依据民事起诉书中的消息可将这种侵入个人行为与ShadowPad和ShadowHammer联络起來。
10月,美国司法部门提起诉讼六名俄国军人开展了多次互联网攻击,主要包括NotPetya,2018年奥林匹克运动会航母围攻事情及其Novichok食物中毒事件。法国NCSC还控告俄国的GRU国防情报机构对日本东京奥运会的高官开展攻击。
“正好”就可以了
APT攻击并不经常必须繁杂技术性,DeathStalker表明了这一点。DeathStalker总体目标关键聚集在法律事务所和金融行业,它搜集比较敏感的信息资讯,给予网络黑客服务项目,或在金融界当做信息内容艺人经纪人。
该季度,发现了该机构根据LNK的侵入案件线索。该机构一直在开发设计其工具箱,选用自2018年至今同样的对策,与此同时增加了躲避检验的幅度。
2020年6月底发现DeathStalker的趣味转变。例如,恶意软件应用置入的IP地址或网站域名立即接入到C2网络服务器,它应用最少2个DDR或web服务来获得真正的C2 IP地址或域。攻击者并不仅限于推送鱼叉式互联网钓鱼邮件,反而是根据多封电子邮件积极主动与受害人触碰,说动她们开启鱼饵。除此之外,攻击者在侵入中应用根据Python的故意专用工具,这是第一次发现攻击者舍弃PE二进制文件做为正中间环节来载入evillum。还发现了该机构自2020年第二季度至今应用的复杂性较低的恶意软件,它取决于HTTPS上的DNS(DoH)做为C2安全通道。2020年10月,发现并研究了该安排的PowerPepper工具箱的新样版,包含改善的沙盒游戏无损检测技术。
COVID-19
在COVID-19大流行以后,很多我国采用封禁对策,攻击者不断利用大家对这些病症的害怕进行互联网攻击主题活动。大部分与COVID-19有关的钓鱼攻击全是互联网犯罪嫌疑人为挣钱进行的。可是,据OSINT(开源系统情报信息)称,攻击者名册中包含拉扎鲁斯(Lazarus)、响尾蛇(Sidewinder)、全透明部族(Transparent Tribe)、第21组(GroupA21)等。科学研究工作人员还发现Kimsuky、APT27、IronHusky和ViciousPanda也在应用COVID-19为主题风格的鱼饵来攻击受害人。
在WellMess汇报以后,法国我国网络信息安全核心(NCSC)与澳大利亚和美国政府部门公布了一份有关WellMess全新活动报告。这三个国家政府把对于COVID-19疫苗研究的恶意软件归因于Dukes(又被称为APT29和Cozy Bear)。
全文连接:securelist