接好文:《2020年第三季度APT攻击变化趋势(上)》
中东国家的攻击主题活动
2022年6月,卡巴斯基观查到MuddyWater APT工作组的新主题活动,包含应用一组新的专用工具,这种专用工具组成了载入恶意程序控制模块的多级别架构。该框架的一些部件运用编码与C2开展通讯,这与卡巴斯基在2022年稍早的MoriAgent恶意程序中留意到的编码同样。
因而,卡巴斯基决策将新的架构取名为MementoMori。新架构的目地是为了更好地进一步推动运行内存中PowerShell或DLL控制模块的实行。现阶段卡巴斯基早已看到了来源于土尔其、印度和阿塞拜疆的受害者。
东南亚地区和朝鲜韩国地域的攻击主题活动
2022年5月,卡巴斯基发觉了归属于Dtrack大家族的一个新样版,第一个实例名叫Valefor,是Dtrack RAT的升级版本,在其中包括了一个新作用,使攻击者可以实行大量种类的有效载荷。第二个实例是一个名叫Camio的键盘记录器程序流程,它是其键盘记录器程序流程的升级版本。这一新版本升级了日志信息内容以及储存体制,卡巴斯基观查到的现象说明这种恶意程序程序流程是为特殊受害者量身定做的,现阶段看到的受害者在日本。
自上年12月至今,卡巴斯基一直在跟踪LODEINFO,一种用以定项攻击的无文档恶意程序。在这段时间,卡巴斯基观查了好多个版本的开发人员开发设计的恶意程序。5月,卡巴斯基检验到对于日本外交关系机构的v0.3.6版本。以后没多久,卡巴斯基也监测到v0.3.8。卡巴斯基的调研揭露了攻击者在横着挪动环节的实际操作方法:在取得所需数据信息以后,攻击者将删掉其攻击印痕。卡巴斯基的汇报包含了对恶意程序LODEINFO的技术指标分析,及其受害者互联网中的攻击编码序列,以揭露攻击者的对策和方式。
在追踪“ Transparent Tribe”的行动时,卡巴斯基发觉了这一APT攻击者应用的一个有意思的专用工具:用以管理方法CrimsonRAT木马病毒的网络服务器部件。卡巴斯基找到这一程序流程的不一样版本,这让卡巴斯基可以从攻击者的方面看来这一恶意程序。它表明了该专用工具的具体目标是盗取文档,得出了它用以探寻远程控制系统文件和运行特殊过滤装置搜集文档的作用。
Transparent Tribe(别名PROJECTM和MYTHIC LEOPARD)是一个十分多生的APT团队,最近半年又提高了其行动的范畴。近期卡巴斯基又看到了一个与“CrimsonRAT木马病毒有关的主题活动https://securelist.com/transparent-tribe-part-1/98127/,卡巴斯基快速剖析了网络服务器部件,并初次看到了USBWorm部件的应用。此外卡巴斯基还看到了一种用以对于印度军事工作人员的恶意代码。这一发觉也验证了在过去的调研中早已发觉的很多信息内容,与此同时也验证了CrimsonRAT https://securelist.com/transparent-tribe-part-2/98233/仍在积极主动开发设计中。
2022年4月,卡巴斯基依据搭建途径和内部结构文件夹名称发觉了一种名叫CRAT的新式恶意程序,该恶意程序应用武器化的韩语文本文档及其特洛伊木马程序流程和战略互联网攻击开展散播。自发觉至今,侧门作用通过多次梯度下降法,功能完善早已十分齐备,并分成好几个攻击控制模块课。有一个烧录将CRAT散播给受害者,随后是名叫Orchestration Crat的下一阶段的Orchestrator恶意程序:该Orchestrator载入了用以情报活动的各种各样软件,包含键盘记录器、显示屏捕获和剪切板盗取。
在卡巴斯基的调研中,卡巴斯基发觉了与ScarCruft和Lazarus的一些弱联接:卡巴斯基发觉该恶意程序中的几个调节信息与ScarCruft恶意程序具备类似的方式,及其一些编码方式和Lazarus C2基本构造的取名。
2022年6月,卡巴斯基观查到一组新的故意Android下载程序流程,依据卡巴斯基的追踪剖析,这种烧录最少从2019年12月起就在郊外被积极主动应用,而且攻击总体目标彻底对于塔吉克斯坦。它的开发人员应用Kotlin计算机语言和Firebase消息传递系统软件开展免费下载,效仿了Chat Lite、Kashmir News Service和其它合理合法的区域性Android应用软件。
我国电信网和信息科技安委会(NTISB)于1月公布的一份汇报叙述了共享资源同样C2并蒙骗同样合理合法应用软件的恶意程序。该汇报提及,攻击者的总体目标是塔吉克斯坦国防组织,攻击者应用WhatsApp信息、短消息、电子邮箱和社交媒体做为原始感柒媒体。卡巴斯基的科学研究也表明,该恶意程序还根据Telegram Messenger散播。根据对原始烧录集的剖析,卡巴斯基可以寻找卡巴斯基觉得息息相关的另一组特洛伊木马,由于他们应用烧录中提及的软件包名字并致力于同样的总体目标,这种新样版与之前归功于Origami Elephant机构开发设计的恶意程序的编码具备很高的同质性。
在7月中下旬,卡巴斯基观查到一个东南亚地区政府部门机构被一个不明的攻击者看上了,该攻击者应用了一个包括双层故意RAR可执行文件包的故意ZIP包。之中一起恶性事件中,压缩文件的题材是有关新冠肺炎疫情的。卡巴斯基坚信,同一个机构很有可能也是政府部门网络服务器系统漏洞的同样总体目标,在7月初被攻克,并为相对高度类似的故意LNK给予服务项目。如同卡巴斯基以往看见的对于特殊国家的别的行为一样,这种攻击者已经采用长期性的、多措并举的办法来毁坏总体目标系统软件,而不应用零日攻击。
特别注意的是,另一个工作组(可能是OceanLotus)除开应用Cobalt Strike以外,仍在一个月前后的時间内以COVID-19主题风格的故意LNK对相似的政府部门总体目标应用了相似的Telegram散播技术性,并将其恶意程序嵌入了同样的政府部门总体目标。
2022年5月,卡巴斯基就阻拦了一次对于一家韩国代理的故意Internet Explorer脚本制作攻击。剖析表明,该攻击应用了之前不清楚的全链攻击,包含2个零日攻击:对于Internet Explorer的远程控制执行命令攻击和对于Windows的管理权限提高攻击。与卡巴斯基在WizardOpium主题活动
https://securelist.com/windows-0-day-exploit-cve-2019-1458-used-in-operation-wizardopium/95432/中采用的此前详细链不一样,新的详细链对于的是Windows 10的全新版本,而卡巴斯基的测试表明可以稳定地运用Internet Explorer 11和Windows 10的版本18363 x64。6月8日,卡巴斯基向微软公司汇报了卡巴斯基的发觉,后面一种确认了这种系统漏洞。
在卡巴斯基递交汇报的情况下,微软公司的安全性精英团队早已为CVE-2020-0986系统漏洞做好准备补丁包,该系统漏洞被用以零日更新管理权限运用;可是在卡巴斯基发觉以前,大家觉得该系统漏洞的运用概率较小, CVE-2020-0986的补丁包于6月9日公布。微软公司将JScript中的use-after-free系统漏洞分派为CVE-2020-1380,并于8月11日公布了对于该系统漏洞的补丁包。卡巴斯基将这类有关攻击行为称之为PowerFall。现阶段,卡巴斯基还无法明确是哪个机构进行了这种攻击,但因为与以前发觉的系统漏洞类似,卡巴斯基坚信DarkHotel可能是此次攻击的幕后人。
7月22日,卡巴斯基在VirusTotal网站在发觉了一个来源于西班牙的异常档案资料,该文件好像是一个包括故意脚本制作、浏览日志、故意文挡和好多个与安全性解决方法检验到的异常文档有关的屏幕截屏的归类。在调研了这种故意文挡后,卡巴斯基发觉他们与6月份报导的拉撒路集团公司(Lazarus group)主题活动相关。
这一场被称作“DeathNote”的攻击主题活动,总体目标是汽车工业和学术研究方面的本人,应用包括航天航空和国家安全有关岗位说明的诱惑文档。卡巴斯基相信,这种文档与近期消息的对于非洲国防安全生产商的攻击相关。目前为止,卡巴斯基早已看到了webshell脚本制作、C2网络服务器脚本制作和故意文本文档,并明确了与受传染的C2服务器连接的几位受害者,并看到了用以浏览C2网络服务器的方式。
2022年3月,卡巴斯基就早已观查到APT机构SideWinder的攻击主题活动,且攻击者应用了五种不一样的恶意程序种类。现阶段产品研发者早已持续对其最后有效载荷开展了改动,并再次运用新冠肺炎疫情等现阶段热点话题进行鱼叉式钓鱼攻击主题活动,其关键目的是对于政府部门、外交关系和国防组织。而感柒体制依然与之前一样,包含SideWinder运用挑选CVE-2017-1182和应用DotNetToJScript专用工具布署最终的有效载荷,但卡巴斯基发觉该机构还采用了包括Microsoft编译程序的HTML协助的ZIP文档,该文件可以下载最终环节的有效载荷。除开目前的根据.NET的嵌入程序流程(卡巴斯基称之为SystemApp)以外,互联网攻击者还向其军械库中增加了JS Orchestrator,Rover / Scout侧门及其AsyncRAT,warzoneRAT的破解版。
别的有趣的发现
许多情形下科学研究工作人员是没法调研到所发觉APT机构背后精英团队的,例如在调研一项已经开展的行动时,卡巴斯基发觉了一种已经研发的新式Android嵌入程序流程,与一切已经知道的Android恶意程序沒有显著的联络。该恶意程序可以监测和盗取通讯记录、短消息、声频、短视频和非文件类型,及其鉴别感柒机器设备的信息内容。它还建立了一个有意思的作用,即搜集应用“traceroute”指令和应用当地ARP缓存文件得到的互联网路由器和拓扑结构信息内容。
在这里实地调查中,卡巴斯基发觉了一堆相近的Android信息内容盗取器嵌入程序流程,在其中一个实例被搞混解决了。此外卡巴斯基还看到了更像侧门的更老的Android恶意程序,其足迹可以上溯到2019年8月。
早在2022年4月,Cisco Talos就发觉了一名身分未知的网络黑客应用名叫“PoetRAT”的新式恶意程序,该攻击针对阿塞拜疆政府部门和电力能源单位。在与卡巴斯基ICS CERT的协作中,卡巴斯基明确了有关恶意程序和资料的填补样版,这种恶意程序和资料的总体目标是阿塞拜疆的多家高校、政府部门、工业生产机构及其电力能源单位组织。该攻击于2019年11月初逐渐,但是在思科交换机Talos汇报公布后,攻击者马上关掉了该攻击的基础设施建设。从那时起,就再也没有发觉新的有关文档或PoetRAT样版。
卡巴斯基观查到该恶意程序与Turla的编码有一些重合,但因为没技术性上靠谱的证人证言证实她们相互关系,并且卡巴斯基也不可以把这类新的主题活动归功于一切别的已经知道的攻击者,所卡巴斯基把它取名为Obsidian Gargoyle。Turla被觉得是史上最繁杂的APT(高級持续危害)恶意程序。总体目标为政府部门、使馆、国防机构、科学研究和教学机构及其制药企业。Turla机构的攻击主题活动包含了很多危害一时的重大事件,例如2008年攻击英国中间指挥所,也就是Buckshot Yankee事情——指的是网络黑客用一个名字叫做agent.btz的恶意程序根据某U盘被提交至五角大楼的国防应用系统当中。此外一个情况便是2016年对德国瑞士军工业RUAG集团公司启动攻击,网络黑客选用了互联网恶意程序Turla,恶意代码及其Rootkit恶意程序紧密结合。
除此之外Turla机构还对于乌克兰国家,欧盟国家有关组织,欧盟国家世界各国政府部门,各个国家的使馆,新闻媒体、科学研究和教学机构及其制药业、军工业,其利用卫星通信原有的安全性缺陷隐藏C&C网络服务器部位和监测中心。Turla机构也被称作Snake 、 Uroburos 、 Venomous Bear或者KRYPTON,是迄今才行更为高級的危害机构之一。
汇总
无论APT机构应用的钓鱼技术怎样转变,网络攻击在一段时间内应用的垂钓话题讨论全是一样的,例如新冠疫情期内她们应用新冠新冠疫情那样的热点话题吸引住客户免费下载并实行故意鱼叉式互联网钓鱼邮件的配件。而在科研开发上APT机构则持续开展技术性梯度下降法,开发工具箱和扩张它们的活動的范畴,例如开发服务平台消化吸收大量参加者进去。尽管一些APT机构开发设计了比较复杂的专用工具,例如MosiacRegressor UEFI嵌入程序流程,但别的互联网网络攻击在应用基本上TTP层面也得到了巨大成就。依据诺顿杀毒软件的观点,UEFI是固定件插口,是BIOS的代替品,可增强安全系数,保证沒有恶意程序伪造正确引导全过程。由于UEFI有利于载入电脑操作系统自身,因此这类感柒可以抵抗OS重装或拆换硬盘驱动器。依据诺顿杀毒软件的观点,这种故意UEFI固定件印象被改动为包括好多个故意控制模块,随后这种控制模块被用于在受害人电子计算机上推广恶意程序,这种控制模块对于来源于非州、亚洲和欧洲的外交人员和社会组织组员启动了一系列有目的性的黑客攻击。
下列是诺顿杀毒软件在2020年第三季度见到的关键APT进攻发展趋势:
- 国际局势再次促进着很多APT健身运动的发展趋势,正如诺顿杀毒软件在近期好多个月见到的Transparent Tribe, Sidewinder, Origami Elephant 和 MosaicRegressor,的主题活动。
- 金融市场部一直是进攻的核心总体目标,DeathStalker的行动便是一个近期的事例。
- 诺顿杀毒软件将再次根据近期的实例(包含Transparent Tribe 和 Origami Elephant.)观查在APT进攻中应用挪动嵌入程序流程的状况。
- 虽然APT黑客攻击共创文明城市在全世界范畴内活跃性,但近期的主题活动网络热点是东南亚地区、中东地区和华语乐坛地域。
- 该季度包含WellMess和Sidewinder以内的APT机构全是以新冠话题讨论为旗号进行进攻的。
- 该季度最妙趣横生的APT机构是DeathStalker和MosaicRegressor:前面一种注重了APT工作组不用开发设计相对高度繁杂的专用工具就可以达到目标的客观事实,后面一种意味着了木马程序开发设计的前沿科技。