三年多来,卡巴斯基全球研究与分析团队(GReAT)一直在持续关注着APT攻击活动的变化,并且每个季度都发布相关的趋势报告分析。本文所讲的分析都是基于卡巴斯基的网络攻击情报研究。本文重点介绍了卡巴斯基在2020年第三季度观察到的APT攻击活动。
最显著的发现
卡巴斯基最近发现了DeathStalker的活动,DeathStalker是一个独特的网络攻击组织,该组织的攻击目标似乎只是关注律师事务所和金融业公司。该组织对收集敏感业务信息的兴趣使卡巴斯基相信,DeathStalker只是一群提供黑客服务的雇佣军或在金融界充当信息经纪人。这个网络攻击者的活动首先通过名为Powersing的基于PowerShell的植入程序引起了卡巴斯基的注意。
本季度,卡巴斯基对DeathStalker基于LNK的Powersing攻击工作流程的线程进行了分解。尽管整个工具集没有开创性的内容,但卡巴斯基认为,防御者可以通过理解成功的网络攻击者使用的现代(尽管技术含量低)感染链的基础来获得很多价值。 DeathStalker目前正在继续开发和使用这种攻击技术,且采用了自2018年以来基本相同的策略,同时加大了逃避侦查的力度。 早在今年8月,卡巴斯基对DeathStalker活动的公开报告中就总结了该组织使用的三种基于脚本语言的工具链:Powersing,Janicab和Evilnum。
在首次公开关于Evilnum的报告之后,卡巴斯基于2020年6月下旬检测到一批新的植入程序,显示出DeathStalker到目前为止的静态攻击方式发生了有趣的变化。例如,该恶意程序使用嵌入式IP地址或域名直接连接到C2服务器,而之前的变体使用了至少两个死亡解析器(dead drop resolvers ,DDRs)或Web服务(例如论坛和代码共享平台) ,以获取获取真正的C2的IP地址或域名。
有趣的是,对于此活动,攻击者不仅将自己限制在发送鱼叉式钓鱼电子邮件,还通过多封电子邮件积极与受害者互动,诱使他们打开诱饵,以增加遭受网络攻击的机会。此外,除了在整个攻击周期中使用基于python的植入程序之外,无论是在新版本还是旧版本中,这都是卡巴斯基第一次看到攻击者将PE二进制文件作为中间阶段加载Evilnum,同时使用先进的技术来规避和绕过安全产品。
此外卡巴斯基还发现了另一种复杂的但技术含量很低的植入程序,卡巴斯基将其归因于DeathStalker,因为其传播工作流使用Microsoft Word文档,并删除以前未知的PowerShell植入程序,该植入程序依赖于HTTPS(DoH)上的DNS作为C2通道,卡巴斯基将这种植入程序称为PowerPepper。
在近期针对目标活动的调查中,卡巴斯基发现了一个UEFI固件映像,其中包含恶意组件,这些恶意组件会将以前未知的恶意程序丢弃到磁盘中。卡巴斯基的分析表明,被发现的固件模块是基于名为Vector-EDK的已知引导程序,而被丢弃的恶意程序则是其他组件的下载器。通过研究恶意程序的独特功能,卡巴斯基从研究中发现了一系列自2017年以来一直用于攻击目标的相似样本,它们具有不同的感染媒介。
尽管大多数业务逻辑是相同的,但卡巴斯基可以看到其中一些具有附加功能或实现方式不同。因此,卡巴斯基推断出大部分样本都来自卡巴斯基称为MosaicRegressor的更大框架。一些框架组件中的代码和活动中使用的C2基础设施中的重叠表明,在这些攻击背后有一个幕后主使者,可能与使用Winnti后门的组织有联系。
欧洲地区的攻击活动
自发布有关WellMess的初步报告(请参阅2020年第二季度APT趋势报告)以来,英国国家网络安全中心(NCSC)已与加拿大和美国政府就涉及WellMess的最新活动发布了联合技术咨询。具体来说,三个政府都将针对新冠疫苗研究的恶意程序的使用归因于Dukes家族(又名APT29和Cozy Bear)。该通报还详细介绍了在此活动中使用的另外两个恶意程序,即SOREFANG和WellMail。
鉴于直接的归因公开声明,咨询中提供的新详细信息以及自卡巴斯基进行初步调查以来发现的新信息,新发布了的报告,以补充卡巴斯基先前对该网络攻击的报告。虽然NCSC的公告提高了公众对最近这些攻击中使用的恶意程序的意识,但这三个政府的归因声明并没有提供明确的证据供其他研究人员深入研究。因此,卡巴斯基目前无法修改它们的原始声明;并且卡巴斯基仍然坚持认为WellMess活动是由先前未知的网络攻击者进行的。如果发现新的证据,卡巴斯基将调整此声明。
俄语地区的攻击活动
今年夏天,卡巴斯基发现了一个未知的多模块C ++工具集,该工具集可追溯到2018年那次工业间谍活动。到目前为止,卡巴斯基还没有发现与已知的恶意活动有关代码、基础架构或TTP的相似之处。
到目前为止,卡巴斯基认为此工具集及其背后的攻击组织都是新出现的。其开发者将工具集命名为MT3,基于此缩写,卡巴斯基将该工具集命名为MontysThree。该恶意程序被配置为搜索特定类型的文档,包括那些存储在可移动媒体上的文档。它包含了正确的俄语的自然语言伪像和一个寻找只存在于Cyrilic版本的Windows目录的配置,同时显示了一些伪造的语言标志,表明是说汉语的人开发的。该恶意程序使用合法的云服务(例如Google,Microsoft和Dropbox)进行C2通信。
中文地区的攻击活动
今年早些时候,卡巴斯基在亚洲和非洲的区域政府间组织网络中发现了一个活跃的,以前未知的隐形植入程序,称为Moriya。通过使用C2服务器建立隐蔽通道并将Shell命令及其输出传递给C2,此工具用于控制那些组织中面向公众的服务器。使用Windows内核模式驱动程序可以简化此功能,使用该工具是卡巴斯基正在进行的名为TunnelSnake的活动的一部分。
Rootkit于5月在目标计算机上被检测到,该攻击活动最早可追溯至2019年11月,并在最初感染后在网络上持续了几个月。卡巴斯基发现另一个工具显示与这个rootkit有明显的代码重叠,这表明开发人员至少从2018年就开始活跃了。由于rootkit和其他横向移动工具都不依赖于硬编码的C2服务器,因此卡巴斯基只能获得对攻击者基础结构的部分预测。也就是说,除了Moriya以外,大多数检测到的工具都包含专有和知名的恶意程序,这些恶意程序以前曾被说成是使用中文的攻击者使用的,这为攻击者来源的分析提供了线索。
在东南亚和东亚,以及非洲,PlugX一直被有效地和大量地使用,在欧洲却很少被使用。PlugX代码库已被包括HoneyMyte,Cycldek和LuckyMouse在内的多个中文APT组使用。政府机构、非政府组织和IT服务组织似乎都是这些攻击的目标,尽管新的USB传播功能有机会将恶意程序推向整个网络,但受到攻击的MSSPs/IT服务组织似乎是一个定向传播的潜在攻击载体,CobaltStrike安装程序包已推送到多个系统进行初始PlugX安装。根据卡巴斯基的观察,上个季度的大部分活动似乎都集中在蒙古、越南和缅甸。到2020年,这些国家使用PlugX的系统至少有几千个。
卡巴斯基发现一个持续进行的攻击活动,可以追溯到五月,利用一个新的版本的Okrum后门,Okrum是Ke3chang开发的,Ke3chang组织也被称为APT15,该组织的攻击行为于2012年第一次被曝光,该组织当时利用远程后门攻击全世界的高价值目标。该组织活动最早可以追溯到2010年,在火眼2013年报告中显示该组织当时针对的目标为欧洲外交组织。这个更新版本的Okrum使用了一个authenticode签名的Windows防御二进制文件,使用了一种独特的侧加载技术。攻击者使用隐写术来隐藏防御者可执行文件中的主要有效载荷,同时保持其数字签名的有效性,减少被发现的机会。卡巴斯基以前从未见过这种方法在野外被用于恶意目的。目前卡巴斯基已经观察到一个受害者,该受害者是一家位于欧洲的电信公司。
9月16日,美国司法部(US Department of Justice)公布了三份与黑客有关的起诉书据称这些黑客与APT41和其他攻击设备有关,这些设备包括Barium,Winnti,Wicked Panda和Wicked Spider。
此外,在美国司法部与马来西亚政府(包括总检察院)合作之后,两名马来西亚公民也于9月14日在马来西亚的Sitiawan被捕,罪名是“密谋从针对视频游戏行业的电脑攻击中获利”。第一份起诉书称,被告成立了一家名为“白帽子”的精英网络安全公司,名为成都404网络技术有限公司(又名成都思灵思网络技术有限公司),并以其名义从事针对全球数百家公司的电脑攻击,他们使用专门的恶意程序进行黑客攻击,比如网络安全专家所称的‘PlugX/Fast’、‘Winnti/Pasteboy’、‘Shadowpad’、‘Barlaiy/Poison Plug’和‘Crosswalk/ProxIP’。起诉书中包含了几个间接的IoC,这使卡巴斯基能够将这些攻击与近年来发现和调查的两起大规模供应链攻击行动“ShadowPad”和“ShadowHammer”联系起来。
2017年7月,卡巴斯基实验室研究人员发现了ShadowPad,一种隐藏在服务器管理程序中的后门程序,全球有数百家企业使用这些服务器管理程序。这种恶意代码被植入到这些程序的更新中,而这些程序广泛应用于金融服务、教育、电信、制造业、能源和运输行业中。2019年卡巴斯基实验室发现了一种(APT)攻击行动,通过供应链攻击影响了大量用户。研究发现,ShadowHammer行动幕后的威胁攻击者的攻击目标为华硕实时更新应用程序的用户,其至少在2018年6月至11月期间向用户设备注入了后门程序,危及全球超过50万用户的安全。
下一篇文章,我们将介绍APT组织本季度在中东地区的攻击活动概况。