双11福利:卡巴斯基2020年第三季度APT趋势报告
发布时间:
2020-11-11
来源:
作者:
访问量:
26
【编者按】三年多来,卡巴斯基全球研究和分析团队(GReAT)持续发布高级持续威胁(APT)活动趋势报告,该报告详细讨论了年度中值得关注的代表性事件,旨在强调人们应该意识到的重大事件和发现。本文重点关注了在2020年第三季度观察到的攻击活动,主要包括Transparent Tribe、Sidewinder、Origami Elephant和MosaicRegressor等涉及地缘政治APT组织的活动,APT组织WellMess和Sidewinder利用COVID-19热门话题引诱用户下载并执行钓鱼电子邮件中附带的恶意软件,以及雇佣军APT组织DeathStalker针对金融部门发起的攻击。
一、主要发现
卡巴斯基研究人员记录了威胁组织DeathStalker的攻击活动,该组织的主要攻击目标集中在律师事务所和在金融领域公司。研究发现,DeathStalker是一个雇佣兵组织,收集敏感业务信息,专门提供黑客服务及充当金融界的信息经纪人。该攻击者使用一个名为Powersing的基于PowerShell的植入物引起了大家的关注。本季度,卡巴斯基解开了DeathStalker基于LNK的Powersing入侵工作流程。虽然在整个工具集中没有什么突破性的新内容,但是通过了解成功的威胁参与者使用的现代感染链的基础,防御者可以获得很大的价值。DeathStalker继续开发和使用这种植入物,使用自2018年以来几乎相同的战术,同时也在努力逃避检测。DeathStalker使用的三种基于脚本语言的工具链包括Powersing、Janicab和Evilnum。
卡巴斯基在2020年6月下旬检测到了一批新的植入,显示出DeathStalker相当静态的操作方式发生了有趣的变化。例如,该恶意软件使用嵌入的IP地址或域名直接连接到C2服务器,而不是以前的变体,利用至少两个失效丢弃解析器(DDR)或Web服务(如论坛和代码共享平台)来获取真实的C2 IP地址或域。在这此攻击事件中,攻击者并不仅仅局限于发送鱼叉式网络钓鱼邮件,而是通过多封电子邮件积极与受害者接触,说服他们打开诱饵,以增加威胁的机会。此外,除了在整个入侵周期中使用基于Python的植入,在新旧变体中,第一次看到攻击者放弃PE二进制文件作为中间阶段来加载Evillum,同时使用高级技术来规避和绕过安全产品。
此外,卡巴斯基还发现了DeathStalker使用的另一个复杂的、低技术含量的植入物PowerPepper。交付工作流使用Microsoft Word文档,并删除以前未知的PowerShell植入,依赖于HTTPS上的DNS(DoH)作为C2通道。
在最近一次针对目标活动的调查中,卡巴斯基研究人员发现了一个UEFI固件映像,其中包含将以前未知的恶意软件丢弃到磁盘的恶意组件。通过分析表明,泄露的固件模块基于已知的名为Vector-EDK的Bootkit,被投放的恶意软件是进一步组件的下载器。通过分析恶意软件的独特特征,从的遥测数据中发现了一系列类似的样本,这些样本自2017年以来一直被用来对付外交目标,具有不同的感染载体。虽然MOST的业务逻辑是相同的,但可以看到一些具有附加功能或在实现上有所不同。
二、各地区攻击态势
(一)欧洲地区
英国国家网络安全中心(NCSC)发布了关于WellMess的首份报告后,联合加拿大和美国政府发布了关于WellMess最近活动的联合技术咨询。具体来说,三国政府都将这种恶意软件针对COVID-19疫苗研究的使用归因于Dukes家族(又名APT29和Cozy Bear)。该报告还详细说明了在此活动中使用的另外两个恶意软件SOREFANG和WellMail。鉴于有关归属的直接公开声明、咨询中提供的新细节以及自最初调查以来发现的新信息,卡巴斯基发布了新报告,作为对其之前关于这一威胁行为者的报道的补充。
虽然NCSC公告的发布提高了公众对最近这些攻击中使用的恶意软件的普遍认识,但这三个国家的政府发表的归属声明并没有为其他研究人员提供明确清晰的证据来证实这一点。
(二)俄语地区
今年夏天,卡巴斯基发现了一个以前未知的多模块C++工具包,用于高针对性的工业间谍攻击,可追溯到2018年。到目前为止,还没有看到与已知的恶意行为在代码、基础设施或TTP方面的相似之处。到目前为止,研究人员认为这个工具集及其背后的参与者是新的。恶意软件作者将工具集命名为MT3,基于此缩写,将工具集命名为MontysThree。该恶意软件配置为搜索特定的文档类型,包括存储在可移动媒体上的文档类型。该恶意软件使用合法的云服务,如Google、Microsoft和Dropbox进行C2通信。
(三)中文地区
今年早些时候,卡巴斯基的研究人员在亚洲和非洲的地区性政府间组织网络中发现了一种名为Moriya的活跃的、以前不为人知的隐形植入物。该工具用于控制这些组织中的公共服务器,方法是使用C2服务器建立一个秘密通道,并将shell命令及其输出传递给C2。使用Windows内核模式驱动程序可以方便地实现此功能。
该工具的使用是名为TunnelSnake的持续攻击的一部分。Rootkit于5月份在目标计算机上被检测到,攻击可以追溯到2019年11月,在最初感染后在网络中持续了几个月。发现另一个工具显示与这个rootkit有显著的代码重叠,这表明开发人员至少从2018年就开始活跃了。由于Rootkit和攻击期间附带的其他横向移动工具都不依赖于硬编码的C2服务器,因此只能获得对攻击者基础设施的部分可见性。
研究人员还发现了一个持续的攻击,可以追溯到5月份,利用了Ke3chang的一个新版本Okrum后门。此更新版本的Okrum使用Authenticode签名的Windows Defender二进制文件,使用独特的侧向加载技术。攻击者使用隐写术来隐藏Defender可执行文件中的主要有效负载,同时保持其数字签名有效,从而降低被检测到的机会。以前从未见过这种方法在野外被用于恶意目的,但是已经观察到一家位于欧洲的电信公司成为受害者。
(四)中东地区
在6月份,卡巴斯基观察到MuddyWater APT组织的新攻击,涉及使用一组新的工具,这些工具构成了加载恶意软件模块的多阶段框架。该框架的一些组件利用代码与C2通信,这些代码与今年早些时候在MoriAgent恶意软件中观察到的代码完全相同。出于这个原因,将新框架命名为MementoMori。新框架的目的是促进内存中更多PowerShell或DLL模块的执行。研究人员已经在土耳其、埃及和阿塞拜疆发现了知名的受害者。
(五)东南亚和朝鲜半岛
今年5月,研究人员发现了属于DTrack家族的新样本。第一个名为Valefor,是DTrack RAT的更新版本,包含一个新功能,可让攻击者执行更多类型的负载。第二个是一个名为Camio的键盘记录器,其键盘记录器的更新版本。这个新版本更新了记录的信息及其存储机制。通过观察到有迹象表明,这些恶意软件程序是为特定受害者量身定做的。在进行研究时,卡巴斯基的遥测数据显示受害者位于日本。
自去年12月以来,研究人员一直在跟踪LODEINFO,这是一种用于定向攻击的无文件恶意软件。在这段时间里,观察到了作者开发恶意软件时的几个版本。今年5月,研究人员发现v0.3.6版本针对的是位于日本的外交机构。之后不久,也检测到了v0.3.8。调查揭示了攻击者在横向移动阶段是如何运作的:在获得所需数据后,攻击者会擦除他们的痕迹。
在跟踪 APT组织Transparent Tribe时,研究人员发现了这位APT威胁参与者使用的一个工具:用于管理CrimsonRAT机器人的服务器组件,并发现了该软件的不同版本。表明该工具的主要目的是窃取文件,因为具有浏览远程文件系统和使用特定过滤器收集文件的功能。Transparent Tribe又名PROJECTM和MYTHIC LEOPARD,是一个非常多产的APT团体,近几个月来它的攻击增加了。卡巴斯基报道了使用CrimsonRAT工具发起的一项新的广泛攻击,在那里能够设置和分析服务器组件,并首次看到USBWorm组件的使用;还发现了一个用于针对印度军事人员的Android植入物。这一发现也证实了在之前的调查中已经发现的许多信息;也证实了CrimsonRAT仍在积极开发中。
今年4月,研究人员发现了一种新的恶意软件变种,根据构建路径和内部文件名将其命名为CRAT。该恶意软件是通过武器化的朝鲜语文档以及特洛伊木马应用程序和战略性的网络危害传播的。自发现以来,功能齐全的后门系统迅速发展,多样化为几个组件。下载器向受害者提供CRAT,然后是下一阶段的恶意软件SecondCrat:这个编排器加载各种间谍插件,包括键盘记录、屏幕捕获和剪贴板窃取。在卡巴斯基的调查中,研究人员发现了与ScarCruft和Lazarus的几个薄弱环节:恶意软件内部的几个调试消息与ScarCruft恶意软件有相似的模式,以及一些代码模式和Lazarus C2基础设施的命名。
今年6月,研究人员观察到了一组新的恶意安卓下载器,根据遥测数据,这些下载器至少从2019年12月起就在野外被积极使用;并且被用于几乎完全针对巴基斯坦受害者的活动。它的作者使用了Kotlin编程语言和Firebase消息系统作为下载器,它模仿了Chat Lite、克什米尔新闻服务和其他合法的地区性Android应用程序。美国国家电信和信息技术安全委员会(NTISB)1月份的一份报告描述了共享相同C2和欺骗相同合法应用的恶意软件。根据这份出版物,攻击目标是巴基斯坦军方机构,攻击者使用WhatsApp消息、短信、电子邮件和社交媒体作为最初的感染媒介。卡巴斯基的遥测数据显示,这种恶意软件也通过电报信使传播。通过对最初的一组下载程序的分析,研究人员发现了另外一组认为非常相关的特洛伊木马程序,因为它们使用下载程序中提到的包名称,并且集中在相同的目标上。这些新样本与先前被认为是Origami Elephant的样本有很强的代码相似性。
在7月中旬,卡巴斯基观察到一个东南亚政府组织被一个未知的威胁行动者盯上,该攻击者使用了一个包含多层恶意RAR可执行程序包的恶意ZIP包。在其中一起攻击中,使用的攻击主题是COVID-19的遏制。研究人员认为,同样的组织很可能也是政府网络服务器漏洞的目标。就像过去看到的针对特定国家的其他行动一样,这些对手正在采取长期、多管齐下的方法,在不利用零日漏洞的情况下危害目标系统。值得注意的是,另一家集团(很可能是OceanLotus)在新冠肺炎主题的恶意LNK事件发生后一个月左右的时间里,除了使用Coobalt Strike之外,还使用了类似的电报传递技术,并植入了针对同一政府目标的恶意软件。
2020年5月,卡巴斯基阻止了一次针对一家韩国公司的恶意Internet Explorer脚本攻击。进一步分析显示,该攻击使用了以前不知道的全链攻击,包括两个零日攻击:针对Internet Explorer的远程代码执行攻击和针对Windows的特权提升攻击。与之前发现的、在Operation WizardOpium中使用的全链条不同,新的全链条针对的是Windows10的最新版本,研究人员的测试表明,它可靠地利用了IE 11和Windows10 Build 18363x64。已向微软报告了卡巴斯基的发现,微软证实了这些漏洞,并及时发布了相关补丁程序。
7月22日,研究人员发现了一个从意大利来源上传到VirusTotal的可疑存档文件。该文件似乎是一个包含恶意脚本、访问日志、恶意文档文件和几个与安全解决方案检测到的可疑文件相关的屏幕截图的分类。在查看了这些恶意文档文件后,发现它们与6月份报道的Lazarus团体活动有关。这项名为DeathNote的行动,目标是汽车行业和学术领域的个人,使用包含航空航天和国防相关职位描述的诱饵文档。研究人员确信,这些文件与最近报道的一起针对以色列国防公司的攻击有关,并已经发现了WebShell脚本、C2服务器脚本和恶意文档,确定了几个连接到受攻击的C2服务器的受害者,以及访问C2服务器的方法。
在观察到2月份开始的一场持续的Sidewinder活动中,使用了五种不同类型的恶意软件。该组织对其最终有效载荷进行了调整,并继续利用当前的主题,如新冠肺炎,以政府、外交和军事实体为目标进行鱼叉式网络钓鱼。虽然感染机制与以前相同,包括组选择的利用漏洞(CVE-2017-1182)和使用DotNetToJScript工具部署最终有效负载,但攻击者还使用包含Microsoft编译的HTML帮助文件的ZIP归档文件来下载最后阶段的有效负载。除了现有的基于.NET的植入物之外,威胁制造者还添加了JS Orchestrator、Rover/Scout后门以及AsyncRAT、warzoneRAT的修改版本。
(六)其他发现
今年4月,思科公司(Cisco Talos)发现了一个身份不明的黑客使用名为PoetRAT的新恶意软件,攻击阿塞拜疆政府和能源部门的活动。在与卡巴斯基ICS CERT的合作中,研究人员确定了相关恶意软件和文件的补充样本,这些恶意软件和文件更广泛的目标是阿塞拜疆的多所大学、政府、工业组织以及能源部门的实体。该运动于2019年11月初开始;在思科Talos报告发布后,攻击者立即关闭了基础设施。卡巴斯基研究人员将其命名为Obsidian Gargoyle。
三、总结
随着时间的推移,一些威胁分子的TTP保持相当一致,例如利用热门话题(如COVID-19)引诱用户下载并执行鱼叉式钓鱼电子邮件中发送的恶意附件,而另一些组织则进行自我改造,开发新的工具集,扩大活动范围,包括新平台。虽然一些威胁分子开发了非常复杂的工具,例如MosiacRegressor UEFI植入物,但另一些人在基本的TTP方面取得了巨大成功。因此定期季度评估旨在突出APT小组的关键发展。
以下是卡巴斯基总结的2020年第三季度主要趋势:
l 地缘政治继续推动着许多APT运动的发展,正如最近几个月看到的Transparent Tribe、Sidewinder、Origami Elephant和MosaicRegressor的活动,以及NCSC和美国司法部对各种威胁行为者的“点名批评”;
l 金融部门的组织也继续吸引人们的注意:雇佣兵组织DeathStalker的活动就是最近的一个例子;
l 研究人员持续观察到移动植入物在APT攻击中的使用,子包括Transparent Tribe和Origami Elephant;
l 尽管APT威胁组织仍然活跃在全球各地,但最近的活动热点是东南亚、中东和中文APT组织活动影响的各个地区;
l 第三季度仍然看到以COVID-19为主题的攻击,包括WellMess和Sidewinder;
l 本季度最有趣的APT活动包括Deathstaker和MosaicRegressor:Deathstaker强调了APT组织无需开发高度复杂的工具就能实现目标的事实,MosaicRegressor代表了恶意软件开发的前沿。
参考资料:
【1】https://securelist.com/apt-trends-report-q3-2020/99204/
天地和兴,卡巴斯基,APT,威胁,网络安全
下一条:
相关资讯
