概述

在短短两年时间内,卡巴斯基实验室的全球研究与分析团队(GReAT)一直在发布高级持续威胁(APT)活动的季度摘要。这些摘要基于我们的威胁情报研究,并提供了我们在具体的APT研究中具有代表性的典型案例。我们团队的目标是,突出体现应该提醒大家注意的重大事项和发现。

本报告是我们最新发布的一期,重点介绍我们在2019年第一季度观察到的活动。

重点发现

近年来,攻击者针对供应链的攻击已经取得一定的成功,ShadowPad、CCleaner和ExPetr就是很好的例子。在我们对2019年的威胁预测中,我们将其标记为可能持续的攻击向量,并且不需要等待很长时间,就看到这一预测成为了现实。2019年1月,我们发现了一个复杂的供应链攻击活动,涉及到ASUS Live Update Utility,这是为华硕笔记本电脑和台式机提供BIOS、UEFI和软件更新的机制。“ShadowHammer活动”背后的攻击者为这一实用程序添加了一个后门,然后通过官方渠道将其分发给用户。攻击的目标是精确定位由其网络适配器MAC地址标识的未知用户池。我们发现,攻击者将一系列MAC地址硬编码到木马化样本中,这也表示了这一大规模行动的真正目标,我们能够从此次攻击中发现的200多个样本中提取600多个唯一的MAC地址,同时也存在针对不同MAC地址的其他样本。

与俄语相关的恶意活动

在今年上半年,使用俄语的恶意组织不是特别活跃,没有值得关注的技术或运营方面的变化。然而,他们持续开展不间断的传播活动,特别关注政治活动。

这一点,在以乌克兰选举为重点的攻击中非常明显。在我们发现针对德国政治顾问组织的恶意Word文档后,攻击活动就浮出水面。根据该恶意组织的网站,他们“为国际政治和外交与安全政策的政治决策者提供建议”。我们对该恶意组织的攻击技术进行了分析,最终表明,该恶意活动背后有Sofacy或Hades组织的支持,但我们无法确定这些团体中的哪一个是其真正的幕后主使。

这种以政治利益为目标的攻击活动并不新鲜。在最近,弗吉尼亚州的一家法院要求Microsoft强行控制了一组网站,这些网站看起来像华盛顿智囊团的登录网站,但被怀疑是俄罗斯恶意组织在DNC黑客攻击中基础设施的一部分。

此外,Microsoft透露,俄罗斯民族国家黑客组织的目标是影响定于5月底举行的2019年欧洲议会选举。

在技术方面,自从2019年1月中旬以来,我们一直在追踪针对土库曼斯坦和塔吉克斯坦政府机构的Turla恶意活动。这一次,攻击者使用新的.NET恶意软件(称为“Topinambour”,又名“Sunchoke”)传播其已知的JavaScript KopiLuwak。Topinambour Dropper与合法软件一起交付,其中包含一个小型.NET Shell,将会等待来自恶意运营者的Windows Shell命令。值得关注的是,攻击者使用了以JavaScript、.NET和PowerShell实现的不同恶意文件,其中每个文件都具有类似的功能。

我们还发布了有关Zebrocy如何将Go语言添加到其武器库的详细信息,这是我们第一次观察到知名的APT威胁组织使用这种编译的开源语言来部署恶意软件。Zebrocy继续瞄准中亚地区的政府相关组织,其中包括其国内和偏远地区,以及中东的新外交目标。

最后,在2019年2月,我们发现了高度针对克里米亚的未知恶意软件攻击,这一类型的恶意软件在此前从未被发现过。间谍程序伪装成俄罗斯著名安全公司的VPN客户端,通过电子邮件的方式传播,并声称提供保护网络的解决方案。目前,我们无法将该活动与任何已知的恶意组织联系起来。

与中文相关的恶意活动

在2019年的最初几个月,使用中文的恶意组织最为活跃,他们在传统上是针对东南亚的不同国家。近期,美国司法部起诉两名亚洲籍公民,声称他们涉嫌计算机黑客、欺诈和严重的身份盗用,并认定他们是APT10恶意组织的成员,代表某国外交部开展非法活动。

同样,据报道,CactusPete(又名LoneRanger、Karma Panda和Tonto Team)在2012年至2014年期间,针对韩国、日本、美国和台湾组织发动攻击。在过去六年中,攻击者很可能依赖于相同的代码库和植入变种。然而,自2018年以来,这些代码已经大规模扩展。该恶意组织针对其目标,利用Word中的公式编辑器漏洞,以及经过适当修改和重新包装后的DarkHotel VBScript 0-day漏洞,承载经过修改和重新编译后的Mimikatz变种、GSEC和WCE凭据窃取工具、键盘记录工具、各种权限提升工具、各种较旧的实用程序和一组更新的后门,以及似乎是自定义下载工具和后门模块的新变种。

自2018年4月以来,我们一直在监控针对越南政府和海外外交实体的恶意活动。我们将这项名为“SpoiledLegacy”的恶意活动归因于LuckyMouse APT组织(又名EmissaryPanda和APTT27)。恶意运营者使用渗透测试框架,例如Cobalt Strike和Metasploit。尽管我们认为,该恶意组织利用网络服务的漏洞作为其主要的初始感染媒介,但我们也发现了包含诱饵文档的鱼叉式网络钓鱼消息。我们相信,与之前的LuckyMouse恶意活动一样,内部数据库服务器也是目标之一。在攻击的最后阶段,他们针对32位和64位系统,分别使用特制的注入系统进程内存的木马。值得强调的是,感染链中的所有工具,都使用了泄漏的HackingTeam代码,动态混淆Win32 API调用。

FireEye将APT40定义为具有亚洲某国国家背景的威胁组织,此前曾经被称为TEMP.Periscope、Leviathan和TEMP.Jumper。根据FireEye的说法,该组织至少从2013年以来,就开始支持亚洲某国家的海军现代化工作,专门针对工程、运输、国防工业,特别是与海事技术相关的目标进行攻击。最近,FireEye还观察到该恶意组织针对“一带一路”倡议具有战略重要性的国家和地区发动攻击,其中包括柬埔寨、比利时、德国、香港、菲律宾、马来西亚、挪威、沙特阿拉伯、瑞士、美国和英国。

有趣的是,针对日本的APT10使用更新版本的ANEL,我们发现该恶意软件与之前BlueTermite使用的恶意软件Emdivi之间的相似之处,这也暗示了两个恶意组织之间的潜在联系。

与东南亚和朝鲜半岛相关的恶意活动

这一区域,似乎是世界范围内APT活动最活跃的地区。

今年1月,我们确定了Transparent Tribe APT组织(也称为PROJECTM、MYTHIC LEOPARD),这是一个与巴基斯坦密切相关的威胁组织,一直针对印度的军事目标发动攻击。

今年2月,我们确定了一系列针对印度军事组织的恶意活动。目前,我们无法将这一恶意活动归因于任何已知的威胁组织。攻击者依靠水坑和鱼叉式网络钓鱼来感染他们的受害者。具体而言,他们破坏与战争研究相关的智囊团的网站,并使用该网站来托管分发Netwire RAT变种的恶意文档。我们还发现了在同一时期内,军事人员俱乐部被攻陷,并用于分发同一恶意软件的证据。

根据Palo Alto报道,在此期间,OceanLotus是另外一个活跃的恶意组织,他们使用了一种名为KerrDown的新下载工具。在年初,该恶意组织使用新编译的样本,我们在该组织发动的新一轮攻击中发现了他们活动的迹象。ESET近期也发现了该恶意组织针对macOS的新增功能。

在2018年中期,我们在关于“AppleJeus恶意活动”的报告中强调了Lazarus威胁行为者对加密货币交易的关注。其中,一项重要的发现是该恶意组织具备了针对macOS发动攻击的新能力。从那之后,Lazarus扩大了对该平台的运营。我们进一步跟踪该组织的活动,发现了一项新的恶意活动,至少从2018年11月开始运营。该恶意活动利用PowerShell控制Windows系统,利用针对苹果的恶意软件来对macOS系统发动攻击。Lazarus并不是唯一针对加密货币交易的APT组织。Kimsuky恶意组织还将其活动领域扩展到针对个人和企业,特别是在韩国地区。

最后,在今年年初,南亚的Bitter组织使用了一个新型的简单下载工具(Palo Alto将其称为ArtraDownloader),将BitterRat木马传播到沙特阿拉伯和巴基斯坦的目标组织。

与中东相关的恶意活动

令人惊讶的是,在今年的前几个月,中东地区的恶意活动显然没有过去那么激烈。即便如此,这一地区仍然是一些恶意组织针对的目标,例如Chafer和Bitter。

我们还观察到,Gaza Team和MuddyWater的一些恶意活动。不过,这只能代表他们继续以该地区为目标,但在恶意运营和技术改进方面没有任何新的表现。

其他值得关注的发现

在2018年末,我们在野外观察到了新版本的FinSpy iOS植入工具。这是FinSpy Mobile的一部分,而FinSpy Mobile是监控解决方案开发商Gamma Group提供的产品。FinSpy for iOS实现了广泛地间谍软件功能,允许恶意人员跟踪受感染设备上的几乎所有内容,包括按键、消息和呼叫。有一个很大的限制,就是当前版本的恶意软件只能安装在越狱后的设备上。我们认为,Gamma组织不会为越狱受害者的手机提供漏洞利用工具,但他们会为客户提供如何对手机进行自行越狱的建议和支持。根据我们的遥测,展示了针对印度尼西亚和蒙古目标的植入痕迹。然而,由于Gamma的客户众多,这可能只是受害者中的一小部分。

在这项研究之后,我们发现Android的新版本大约在2018年6月发布。尽管在功能方面非常相似,但它实现了针对特定平台的独特功能,例如通过滥用脏牛漏洞(DirtyCow,CVE-2016-5195)获取root权限。与iOS版本一样,这一植入工具具有从即时通信软件中获取数据的功能,包括Threema、Signal、Whatsapp和Telegram,同时还可以从内部设备获取消息,包括但不限于电子邮件和SMS消息。

2月份,我们的AEP(自动漏洞利用防护)系统检测到试图利用Windows中的漏洞,这是我们近期发现的连续第四次利用Windows的本地特权提升漏洞。经过进一步分析,我们发现了win32k.sys中的0-day漏洞,我们在2月22日向Microsoft报告了这一漏洞,他们迅速确认了漏洞的存在,并为其分配了CVE-2019-0797的编号。Microsoft在2019年3月12日发布了一个补丁,并公开感谢卡巴斯基实验室的研究人员Vasiliy Berdnikov and Boris Larin。我们认为,这一漏洞曾经被几个威胁组织所利用,包括但不限于FruityArmor和SandCat。众所周知,FruityArmor之前使用过0-day漏洞,而SandCat是我们最近才发现的新APT组织。在野外发现的漏洞,利用了Windows 8到Windows 10 Build 15063范围内的64位操作系统。

值得关注的是,FrutiyArmor和SandCat似乎遵循了并行的路径,二者同时使用相同的漏洞利用方法。这似乎表明,有第三方在向他们提供这样的漏洞利用方法。

勒索软件已经成为APT组织的重要工具,因为它可以用于删除攻击痕迹、进行网络破坏。我们持续关注一系列勒索软件攻击,因为这一系列攻击似乎只对较大的目标感兴趣。LockerGoga近期破坏了Altran、Norsk Hydro和其他攻击的系统。目前还不清楚攻击的幕后主使、其主要目的以及最先感染受害者的感染途径。目前,暂不清楚LockerGoga属于勒索软件还是清除数据的恶意软件。恶意软件用于加密数据,并显示勒索提示,要求受害者与攻击者取得联系并进行解密,从而换取受害者的比特币付款。然而,研究人员观察到最新版本,他们通过更改密码的方式,使受害者不具备重新登录系统的能力,让受害者无法再访问受感染的系统。在这种情况下,受害者甚至可能无法看到勒索提示。

总结

回顾第一季度以来的APT相关事件,即使我们感觉没有发生任何具有突破性的事件,但还是发现了一些值得关注和具有不同演变的威胁。

针对这一季度的APT事件进行总结,我们可以得出以下结论:

1. 地缘政治作为APT活动的主要推动力,并且这一趋势还在不断增长。

2. 就APT活动而言,东南亚仍然是世界上APT最为活跃的地区,但这也可能与一些组织经验较少,产生的“噪音”相关。

3. 与近年相比,使用俄语的恶意组织始终保持低调,这可能代表着他们正在进行内部重组,但这仅仅是我们的一个假设。

4. 使用中文的恶意组织始终保持高水平的活动,其恶意活动同时结合了低级的复杂性和高级的复杂性。

5. 为政府和其他实体提供商业恶意软件的厂商仍然持续发展,并且他们的客户也在不断增多。

如果要选出本季度最值得关注的一件事,我们认为ShadowHammer恶意活动结合了几个已知APT活动当前使用的方法。这是一个先进的、具有针对性的活动,利用攻击链进行分发,规模非常广泛。在该恶意活动中,涉及了若干步骤,包括对其目标MAC地址的原始收集。这似乎是一个新的趋势,因为该组织还针对恶意软件分发的其他受害者,展现出供应链攻击一种非常令人担忧的趋势。

如往常一样,这只是我们目前观察到的已知攻击。我们始终在致力于发现其他复杂攻击,并会持续尝试进行改进,以发现当前存在的更多恶意攻击。

https://securelist.com/apt-trends-report-q1-2019/90643/

声明:本文来自嘶吼专业版,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。