三年多来,卡巴斯基全世界科学研究与剖析精英团队(GReAT)一直在不断关心着APT攻击活动的转变,而且每一个一季度都公布有关的发展趋势汇报剖析。文中所说的剖析全是根据卡巴斯基的互联网攻击情报研究。文中主要讲解了卡巴斯基在2020年第三季度观查到的APT攻击活动。
最明显的发觉
卡巴斯基近期看到了DeathStalker的活动,DeathStalker是一个与众不同的互联网攻击组织,该组织的攻击总体目标好像仅仅关心法律事务所和金融行业企业。该组织对搜集比较敏感业务流程数据的爱好使卡巴斯基坚信,DeathStalker仅仅一群给予网络黑客业务的雇佣兵或在金融界当做信息内容艺人经纪人。这一互联网攻击者的活动最先根据名叫Powersing的根据PowerShell的嵌入程序流程造成了卡巴斯基的留意。
该季度,卡巴斯基对DeathStalker根据LNK的Powersing攻击工作内容的进程开展了溶解。虽然全部工具箱沒有开拓性的內容,但卡巴斯基觉得,防御者可以根据了解取得成功的互联网攻击者应用的当代(虽然科技含量低)感柒链的基本来得到许多使用价值。 DeathStalker现阶段正再次研发和应用这类攻击技术性,且选用了自2018年至今基本一致的对策,与此同时增加了躲避侦察的幅度。 早在2022年8月,卡巴斯基对DeathStalker活动的公布汇报中就汇总了该组织应用的三种根据开发语言的专用工具链:Powersing,Janicab和Evilnum。
在初次公布有关Evilnum的汇报以后,卡巴斯基于2020年6月中旬检验到一批新的嵌入程序流程,表明出DeathStalker到现在为止的静态数据攻击方法发生了好玩的转变。例如,该恶意程序应用内嵌式IP地址或网站域名立即接入到C2网络服务器,而前的组合应用了最少2个身亡在线解析(dead drop resolvers ,DDRs)或Web服务(例如社区论坛和编码数据共享平台) ,以获得获取正确的C2的IP地址或网站域名。
有意思的是,针对此活动,攻击者不但将自身限定在推送鱼叉式垂钓电子邮箱,还根据多封电子邮件积极主动与受害人互动交流,引诱她们开启鱼饵,以提升遭到互联网攻击的机遇。除此之外,除开在全部攻击周期时间中应用根据python的嵌入程序流程以外,不论是在最新版本或是旧版中,这全是卡巴斯基第一次见到攻击者将PE二进制文件做为正中间环节载入Evilnum,与此同时应用专业的新技术来避免和绕开网络安全产品。
除此之外卡巴斯基还看到了另一种繁杂的但科技含量很低的嵌入程序流程,卡巴斯基将其归功于DeathStalker,由于其散播工作流引擎应用Microsoft Word文本文档,并删掉之前不明的PowerShell嵌入程序流程,该嵌入程序流程取决于HTTPS(DoH)上的DNS做为C2安全通道,卡巴斯基将这类嵌入程序流程称之为PowerPepper。
在近日对于总体目标活动的调研中,卡巴斯基发觉了一个UEFI固定件印象,在其中包括故意部件,这种故意部件会将之前不明的恶意程序丢掉到硬盘中。卡巴斯基的分析表明,被看到的固定件控制模块是根据名叫Vector-EDK的已经知道正确引导程序流程,而被丢掉的恶意程序则是别的部件的下载工具。根据科学研究恶意程序的特有作用,卡巴斯基从科学研究中看到了一系列自2017年至今一直用以攻击总体目标的类似样版,他们具备不一样的感柒媒体。
虽然大部分领域模型是一致的,但卡巴斯基能够看见在其中一些具备额外作用或完成方法不一样。因而,卡巴斯基推测绝大多数样版都来源于卡巴斯基称之为MosaicRegressor的更高架构。一些框架部件中的源代码和活动中采用的C2基础设施建设中的重合说明,在这种攻击身后有一个背后主使者,很有可能与应用Winnti侧门的组织有联络。
欧美地区的攻击活动
自公布相关WellMess的基本汇报(客户程序2020年第二季度APT发展趋势汇报)至今,法国我国网络信息安全核心(NCSC)已与澳大利亚和美政府就涉及到WellMess的全新活动公布了协同技术服务。从总体上,三个政府部门都将对于新冠疫苗研究的恶意程序的应用归功于Dukes大家族(别名APT29和Cozy Bear)。该通告还介绍了在这里活动中采用的此外2个恶意程序,即SOREFANG和WellMail。
由于立即的归因于公布申明,资询中保证的新详细资料及其自卡巴斯基开展基本调研至今发觉的新信息内容,新发表了的汇报,以填补卡巴斯基此前对该互联网攻击的汇报。尽管NCSC的公示提升了社会公众对近期这种攻击中采用的恶意程序的观念,但这三个政府部门的归因于申明并没给予清晰的直接证据供别的科研工作人员深入分析。因而,卡巴斯基现阶段没法改动他们的初始申明;而且卡巴斯基依然坚持不懈觉得WellMess活动是由此前不明的互联网攻击者开展的。假如发觉新的直接证据,卡巴斯基将调节此申明。
德语地域的攻击活动
这个夏天,卡巴斯基发觉了一个不明的多控制模块C 工具箱,该工具集追朔到2018年那一次工业生产特工活动。到现在为止,卡巴斯基都还没看到与给定的故意活动相关编码、基础架构或TTP的共同之处。
到现在为止,卡巴斯基觉得此工具箱以及身后的攻击组织全是新产生的。其开发人员将工具箱取名为MT3,根据此简称,卡巴斯基将该工具箱取名为MontysThree。该恶意程序被配备为检索特殊种类的文本文档,包含这些储存在可挪动新闻媒体上的文本文档。它包括了恰当的德语的自然语言理解伪像和一个找寻只出现于Cyrilic版本号的Windows文件目录的配备,与此同时展现了一些假冒的语言表达标示,说明是说中文的人研发的。该恶意程序应用正规的云服务器(例如Google,Microsoft和Dropbox)开展C2通讯。
汉语地域的攻击活动
2022年稍早,卡巴斯基在亚洲地区和非洲国家的地区政府部门间组织互联网中看到了一个活跃性的,之前不明的隐型嵌入程序流程,称之为Moriya。根据应用C2网络服务器创建隐敝安全通道并将Shell命令以及輸出传送给C2,此专用工具用以操纵这些组织中朝向群众的网络服务器。应用Windows核心模式驱动程序可以简单化此作用,应用该专用工具是卡巴斯基已经开展的名叫TunnelSnake的活动的一部分。
Rootkit于5月在总体目标电脑上被检验到,该攻击活动最开始追朔至2019年11月,并在最开始感柒后在互联网上不断了几个月。卡巴斯基发觉另一个专用工具表明与这一rootkit有显著的编码重合,这说明开发者最少从2018年就逐渐活跃性了。因为rootkit和别的横着移动工具都不依赖于硬编码的C2网络服务器,因而卡巴斯基只有得到对攻击者基本构造的一部分预测分析。换句话说,除开Moriya之外,大部分检验到的道具都包括专用和著名的恶意程序,这种恶意程序之前曾被看做是应用汉语的攻击者应用的,这为攻击者由来的研究给予了案件线索。
在东南亚地区和亚太地区,及其非州,PlugX一直被合理地和很多地应用,在欧洲地区却非常少被应用。PlugX代码库已被包含HoneyMyte,Cycldek和LuckyMouse以内的好几个汉语APT组应用。政府部门、非政府组织组织和IT服务组织好像全是这种攻击的总体目标,虽然新的USB散播作用还有机会将恶意程序引向全部互联网,但遭受攻击的MSSPs/IT服务组织好像是一个定项散播的潜在性攻击媒介,CobaltStrike程序安装包已消息推送到好几个系统软件开展原始PlugX安裝。依据卡巴斯基的观查,上个季度的绝大多数活动好像都汇集在蒙古族、越南地区和越南。到2020年,这种国家应用PlugX的系统软件最少有好几千个。
卡巴斯基发觉一个不断开展的攻击活动,可以上溯到五月,运用一个新的新版本的Okrum侧门,Okrum是Ke3chang开发设计的,Ke3chang组织也被称作APT15,该组织的攻击个人行为于2012年第一次被曝出,该组织那时候运用远程控制侧门攻击全球的高使用价值总体目标。该组织活动最开始可以上溯到2010年,在火眼金睛2013年汇报中表明该组织那时候对于的目的为欧洲地区外交关系组织。这一更新版本的Okrum应用了一个authenticode签字的Windows防御力二进制文件,应用了一种与众不同的侧载入技术性。攻击者应用隐写术来掩藏防御者可执行程序中的关键有效载荷,与此同时保证其数字签名的实效性,降低被看到的机遇。卡巴斯基之前没见过这类方式在野外被用以故意目地。现阶段卡巴斯基早已观查到一个受害人,该受害者是一家坐落于欧洲地区的电力公司。
9月16日,美司法部(US Department of Justice)发布了三份与网络黑客相关的民事起诉书据悉这种网络黑客与APT41和别的攻击机器设备相关,这种机器设备包含Barium,Winnti,Wicked Panda和Wicked Spider。
除此之外,在美司法部与新加坡政府部门(包含总人民检察院)协作以后,两位新加坡中国公民也于9月14日在菲律宾的Sitiawan被抓,罪行是“合谋从对于淤戏领域的计算机攻击中盈利”。第一份民事起诉书称,被告方创立了一家名叫“白帽”的菁英网络信息安全企业,名叫成都市404互联网技术有限责任公司(别名成都市思灵思互联网技术有限责任公司),并且以其为名从业对于全世界数家企业的计算机攻击,她们应用专业的恶意程序开展网络黑客攻击,例如网络信息安全权威专家所指的‘PlugX/Fast’、‘Winnti/Pasteboy’、‘Shadowpad’、‘Barlaiy/Poison Plug’和‘Crosswalk/ProxIP’。民事起诉书中包括了好多个间接性的IoC,这使卡巴斯基可以将这种攻击与近些年发觉和调研的多起规模性供应链管理攻击行为“ShadowPad”和“ShadowHammer”联络起來。
2017年7月,卡巴斯基试验室科学研究工作人员发觉了ShadowPad,一种掩藏在网络服务器管理流程中的木马程序,全世界有数家公司应用这种网络服务器管理流程。这类恶意程序被嵌入到这种程序流程的刷新中,而这种程序流程广泛运用于金融信息服务、文化教育、电信网、加工制造业、电力能源和物流运输领域中。2019年卡巴斯基试验室发觉了一种(APT)攻击行为,根据供应链管理攻击危害了很多客户。研究发现,ShadowHammer行为背后的危害攻击者的攻击总体目标为asus自动更新应用软件的客户,其最少在2018年6月至11月期内向客户机器设备引入了木马程序,严重危害全世界超出50万客户的安全性。
下一篇文章,大家将详细介绍APT组织该季度在中东国家的攻击活动概述。