关键词:APT、季度报告

概述

近五年来,卡巴斯基的GReAT团队一直在发布针对高级持续性威胁(APT)活动的季度总结,这些总结是基于其以往的威胁情报研究工作撰写的。本文描述了其在2022年第二季度观察到的攻击活动。

1.重要发现

1月24日,Twitter上发布了恶意软件Solaris SPARC的hash。这个复杂的、模块化的网络间谍平台在复杂性上可以与EquationDrug、Remsec和Regin相媲美。分析者发现了该样本的一个Windows变体,其具有相同的字符串加密算法、内部模块和功能。该样本是一个被称为SBZ的复杂的框架,具有寻址、重定向和路由等功能。SBZ可能代指Equation Group使用的网络间谍平台STRAITBIZZARE。有趣的是,从ShadowBrokers导出的 DanderSpritz样本的接口ID与该框架的接口ID之间存在重叠。卡巴斯基已经提供了两份关于SBZ的Windows变体和SPARC变体的技术报告。

2021年底,该研究团队利用固件扫描器,识别出了一个被植入UEFI固件镜像的恶意DXE驱动程序了。该恶意驱动程序与兼容性支持模块(CSM)相对应,用于从主引导记录(MBR)中启动一个引导序列。攻击者修改了该模块,以便在执行正常逻辑之外产生一个攻击链,以最终部署恶意的内核模式的shellcode,该shellcode会从外部服务器上执行一个额外的载荷。研究人员将恶意UEFI组件命名为CosmicStrand,对其进行研究发现,已有其他厂商对其变体进行了分析。研究人员最初发现的样本只有少量的修改,但使用了不同的基础设施。这两个变体在一套PC设备中被发现,并可能在限制内收到来自各自C2服务器的响应。研究人员做出猜测,高级攻击者可能有针对性地对不确定的目标进行攻击。它的攻击目标主要是中国、越南、俄罗斯和伊朗的计算机。

1.1 欧洲地区的活动

Proofpoint在3月发表了一篇文章,介绍了一个与俄乌战争有关的新型鱼叉式网络钓鱼攻击活动,并初步认为此次攻击是UNC1151(又名TA445和Ghostwriter)所为。Proofpoint认为,该攻击与乌克兰当前局势有关。攻击者向负责管理欧洲交通和人口流动的欧洲政府工作人员发送鱼叉式钓鱼邮件,来让他们感染Sunseed木马。卡巴斯基研究人员对该活动进行调查发现,至少从2020年5月起,就有了该组织针对中亚、欧洲和美洲众多实体的其他相关活动。研究人员发现了此次活动与以前观察到的攻击活动的联系、攻击者使用的新的未知的样本、大量关于C2基础设施的最新信息,以及被投递给受害者的最新样本。

1.2 中东地区的活动

最近,SEKOIA.IO的研究人员发布了一份涉及一个域名集群的报告,他们认为这是一个恶意基础设施的一部分,并将其称之为BananaSulfate。这个基础设施十分有趣,它似乎正在迅速扩大,并且变化很大,到目前为止已经注册了几十个域名,而且只在短时间内活跃。此外,正如SEKOIA.IO所指出的,这些域名表明它们可能是针对多个平台的攻击的一部分,因为这些域名伪装成Windows、iOS和Android操作系统的合法服务。最后,这个基础设施与研究人员在以前的报告中观察到的基础设施之间具有某些相似之处,因此这些攻击可能是Karkadann/Piwiks的新的活动。

1.3 东南亚和朝鲜半岛的活动

今年一月,Kimsuky发送含有宏嵌入的Word文档的鱼叉式钓鱼邮件发起攻击,攻击了韩国的一家媒体公司和一家智囊机构。研究人员发现了各种不同的Word文档的样本,每个样本都与朝鲜半岛的地缘政治问题有关。攻击者还利用一个HTML格式的诱饵文件感染受害者。在最初的感染之后,向受害者投递一个Visual Basic脚本;在此过程中,攻击者滥用了一个合法的博客服务来托管具有编码格式的恶意脚本,植入的VBS文件能够报告受感染计算机的信息,并下载额外的具有编码格式的恶意载荷;攻击的最后阶段是一个受感染的Windows可执行文件。最后,恶意软件能够窃取受害者的信息,如文件列表、按键信息和存储在网络浏览器中的登录凭证。研究人员从攻击者的基础设施中发现了包含更多潜在受害者的众多IP地址的日志文件。研究发现此次活动与之前的Kimsuky恶意软件有许多重叠:该攻击者长期以来一直使用其原始的恶意软件代码和脚本。然而,感染方案却一直在不断发展。在这个例子中,一个合法的博客服务增加了自身的可信度,并且感染阶段增加了对受害者身份的验证。研究人员还观察到一个有趣的现象,该攻击者将受害者网络中的一台被入侵的计算机作为其恶意软件的测试环境。

Lazarus是目前最活跃的团伙之一,其主要目标是国防工业和金融机构,研究人员近期又发现了该组织的两起攻击活动。DeathNote是Lazarus使用的一个复杂的恶意软件集群,研究人员在 Lazarus攻击一家软件供应商和智囊机构时发现了这个集群,随后便在韩国发现有几个实体在2月份被类似的恶意软件所感染。然而,在这些活动中,感染方式略有更新,因为攻击者在其投递过程中加入了wAgent恶意软件。

自2021年下半年以来,研究人员一直在检测来自SideCopy的新的攻击活动,研究人员认为它是TransparentTribe下的一个子团伙。这些攻击的目标是印度和阿富汗,某些攻击有更加复杂的攻击链,并且都涉及复杂的技术,如带有加密/混淆的恶意载荷的HTA脚本的不同阶段,内存驻留的恶意软件,以及在大多数情况下,隐蔽加载DLL以执行NightFury后门。研究人员发现,它们要么始于含有恶意LNK文件的ZIP文档,要么始于带有恶意VBA宏的Word文档。这些攻击的最终载荷包括Crimson RAT、ReverseRAT和NightFury后门。攻击者使用被攻击的网站来托管最初的HTA脚本,将他们自己的服务器作为不同的后门和RAT样本的C2和下载器模块的下载服务器。卡巴斯基提供了对这些基础设施和恶意软件组件的更加详细的分析。

研究人员发现了一个从2022年3月开始的高度活跃的攻击活动,该活动针对韩国的股票和加密货币投资者。根据域名的命名方式,研究人员将该活动称为NaiveCopy。攻击者使用加密货币相关的内容或执法部门的投诉作为诱饵文档。感染链包括远程模板注入,产生恶意的宏,利用Dropbox启动多阶段的感染程序。最后,在向受害者的主机发出信号后,该恶意软件试图获取最后阶段的载荷。研究人员幸运地获得了最后阶段的载荷,它由几个模块组成,用于从受害者处获取敏感信息。研究人员分析了该载荷,并发现了一年前其使用的其他样本。当时,攻击者将Excel文档和Windows可执行文件作为最初的感染载体。其与2021年使用的载荷结构不同,但与之前的版本有许多重叠之处。基于这一发现,研究人员认为该活动至少持续了一年之久。卡巴斯基研究人员与KrCERT和ISP供应商进行合作,关闭了攻击者的基础设施,阻止了更多的感染行为。在归因方面,研究人员无法找到与已知攻击者的确切的关联,但是研究人员认为他们熟悉韩语,并利用类似的策略窃取了一个著名的韩国门户网站的登录凭证。

从2022年1月开始,TransparentTribe(又名PROJECTM和MYTHIC LEOPARD)开始对印度的政府工作人员进行新一轮攻击。在这些攻击中,受害者被引诱访问虚假网站,该网站模仿Kavach的官方存储库。Kavach是印度的政府雇员必须使用的双因素认证应用程序。受害者被诱骗下载并执行假的安装程序,这些程序会验证受害者,并下载新型木马AREA51。该木马用来执行另一个验证过程,识别相关的受害者,以感染其他恶意软件。研究人员发现攻击者使用AREA51来部署一个新版本的MumbaiRAT、一个新的CrimsonRAT变体和PeppyRAT。研究人员还发现了一个用来分发假的Linux版Kavach安装程序的虚假网站。它是一个简单的下载器,可下载并执行Poseidon——一个用于Linux和macOS的后漏洞利用工具,可与Mythic载荷投递框架一起使用。

2.其它发现

2月份,基于KA-SAT的互联网服务遭到恶意破坏,其目的可能是专门阻碍乌克兰军队和安全部门的通信。研究人员能够识别出几个配置和敏感信息泄露的漏洞,这些漏洞允许攻击者访问Viasat管理的专用网段,并进行远程代码执行或更改CPE系统上的配置。研究人员分析了3月15日提交的可公开使用的恶意软件CosmosWiper,并且有较高的置信度认为,它已被用来破坏某些KA-SAT客户的CPE系统。研究人员认为,用于擦除Viasat卫星宽带调制解调器的恶意软件可能与VPNFilter10有关。

2月,研究人员发现了一个针对吉尔吉斯斯坦政府的新的SilentMarten活动。这是首次观察到的将shellcode放入Windows事件日志的技术,使用"无文件 "的方法,将最后阶段木马隐藏在文件系统中。攻击者将shellcode保存到密钥管理系统(KMS)事件源的信息事件中,并有一个特定的类别ID和递增的事件ID。另一种技术是使用一个模仿合法域名的C2域名。"eleed "这个名字属于一个区域性的ERP/ECM产品,它在目标系统上使用了。攻击者在进行下一个攻击阶段时,会考虑到他们最初的侦察情况。他们的反侦查解密器使用了不同的编译器,如微软的cl.exe,MinGW的GCC和最新版本的Go。他们不只有最后阶段的木马,还有基于HTTP和基于命名管道的木马。除了上述的自定义模块,还使用了几个商业化的测试工具,如Cobalt Strike和NetSPI。在2021年9月,研究人员观察到了在其他地区(中东和北非)的SilentBreak的工具集。投递者还修补了Windows Native API函数,使感染过程更加隐蔽。此外,一些模块使用Fast Invest数字证书签名,研究人员认为该数字证书是攻击者发布的,因为数据显示除了这次活动中使用的恶意代码之外,没有任何合法软件用它签名。

研究人员最近发现了SessionManager,这是一个检测有漏洞的IIS的恶意模块,从2021年3月底开始,它被用来攻击非洲、南美、亚洲、欧洲、俄罗斯和中东的非政府组织和政府机构。研究人员有较高的信心认为,该模块的部署得益于先前对Exchange服务器上ProxyLogon类型漏洞的利用。根据受害者的情况和OwlProxy的使用情况,分析人员认为,有一定的可能性SessionManager被 GELSEMIUM攻击者使用。

研究人员在2020年8月首次报告了DeathStalker的VileRAT活动。在继续跟踪相关活动的同时,他们注意到,该攻击者仍然定期更新其恶意软件和之前的感染链。DeathStalker的主要战术不变,但在努力逃避检测。研究人员最近发现了新的感染文件,最终提供了更新的VileRAT样本,并在一份详细的报告中提供了关于这些活动的新的指标信息和知识。

近年来,攻击泄密事件的数量稳步增加,这已成为APT和网络犯罪分子的一个常用方式。对APT来说,泄密事件主要是用来破坏目标对象的形象,损害其声誉。例如,早在2016年,民主党全国委员会主席黛比-瓦瑟曼-舒尔茨在维基解密的大量电子邮件泄露后辞职。对于网络犯罪分子来说,泄密通常与勒索软件攻击结合使用,即公司的数据被加密并被勒索赎金。自俄乌战争开始以来,各种网络犯罪集团(如Conti)表示支持参与冲突的各方,混淆了国家支持的行动和网络犯罪行动之间的界限。同样,可以看到目前与冲突有关的黑客活动的数量激增,从DDoS攻击到人肉搜索和黑客泄密攻击。

在一份报告中,卡巴斯基公布了一份对现代勒索软件技术、战术和策略(TTP)的全面调查。该报告结合了卡巴斯基多个团队的努力--威胁研究团队、全球应急响应团队(GERT)和全球研究与分析团队(GReAT)。他们还采用了埃斯卡尔先进技术研究所(SANS)、国家网络安全中心和国家标准与技术研究所(NIST)的最佳实践。该报告选择了最活跃的攻击团体,详细分析了他们所实施的攻击,并采用了MITRE ATT&CK框架来确定TTP。通过跟踪这些团体的活动和并对攻击进行分析,研究人员发现在整个网络杀伤链中,核心技术是相同的。此处揭示的攻击模式并不是偶然的,而是这类攻击需要黑客经过一定的阶段,如渗透到企业网络或受害者的电脑,投递恶意软件,进一步发现、劫持账户,删除备份,最终实现他们的目标。

3. 最终思考

主要依靠社会工程学的攻击者的TTP随着时间的推移没有太大变化,而其他的攻击者都更新了他们的工具集,扩大了他们的攻击范围。而该季度总结也旨在强调APT组织的主要发展过程。以下是研究人员在2022年第二季度发现的主要趋势:

  • 地缘政治仍然是APT发展的动力之一。不出所料,我们将继续看到以俄乌战争为主题的攻击活动。目前 "黑客攻击 "激增,从DDoS攻击到人肉搜索再到黑客泄密行动。网络犯罪分子也在寻求利用这一冲突。此外,我们还看到攻击者将战争作为主题,引诱潜在受害者运行恶意代码。

  • 正如在针对韩国股票和加密货币投资者的NaiveCopy活动报告中所强调的,经济利益仍然是APT攻击的动机之一。

  • 在卡巴斯基2021年的APT年度回顾中,研究人员强调了两起攻击者利用UEFI的案例,并预测了低级别攻击会进一步增长。本季度研究人员报告了另一个恶意的UEFI组件CosmicStrand。

参考链接:https://securelist.com/apt-trends-report-q2-2022/106995/

编辑|马月

审校|何双泽、金矢

本文为CNTIC编译整理,不代表本公众号观点,转载请保留出处与链接。

声明:本文来自国家网络威胁情报共享开放平台,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。