卡巴斯基全球研究与分析团队(GReAT)四年来一直都在持续关注并发布关于高级持续攻击(APT)活动的季度报告。这些报告是基于研究人员的持续攻击情报分析,本文会对相关的发现做更详细和细致的研究。
APT的攻击趋势分析
去年12月,著名的IT托管服务提供商SolarWinds遭受了复杂的供应链攻击。该公司的Orion IT(一种用于监视和管理客户的IT基础架构的解决方案)遭到了攻击。这导致在北美、欧洲、中东和亚洲的18000多个SolarWinds客户网络(包括许多大型公司和政府机构)上被部署了名为Sunburst的自定义后门。在有关Sunburst的初始报告中,研究人员仔细检查了该恶意程序用于与其C2(命令和控制)服务器通信的方法以及用于升级对受害者以进一步利用的攻击方法。对Sunburst后门的进一步调查显示,一些功能与先前确定的后门——Kazuar有重叠之处,Kazuar于2017年首次被发现,有人认为与Turla APT组织有关。 Sunburst和Kazuar之间的共享功能包括受害者UID生成算法,其算法中的代码相似性以及FNV1a哈希广泛用于混淆字符串比较的功能。有几种可能性:Sunburst可能是和Kazuar一起由同一组织开发的或者Sunburst的开发人员可能已经采纳了Kazuar的一些想法或代码或者两组都从同一来源获得了恶意程序或者一些Kazuar开发人员已经将随身携带的经验和知识转移到另一个开发团队了,或者Sunburst的开发者引入这些链接作为一种虚假标志。下面将做进一步分析。
3月2日,微软报告了一个名为HAFNIUM的APT攻击,该攻击利用了Exchange Server中的四个零日漏洞进行了所谓的“有限和有针对性的攻击”。当时,微软声称,除了HAFNIUM之外,其他一些攻击组织也正在利用它们发起了攻击。同时,Volexity还报告了2021年初使用相同的Exchange零日漏洞的情况。根据Volexity的追踪分析,除微软报告的HAFNIUM之外,还报告了一些攻击组织之间正共享一些正在使用的漏洞。卡巴斯基追踪技术揭示了在微软公开披露并修补此漏洞后,针对这些漏洞的利用尝试激增。在3月的第一周,研究人员确定了大约1400台目标服务器,其中使用了一个或多个漏洞来进行初始访问。在发布这份报告之前,研究人员于2月28日在不到十二个Exchange系统上确定了相关的漏洞利用;研究人员还发现了超过12个伪造的Exchange文件,表明该文件已经被攻击组织上传到了多个扫描服务中。根据研究人员的追踪,在欧洲和美国观察到了大多数利用服务器的尝试。其中一些服务器多次被不同的攻击组织(基于命令执行模式)攻击,这表明这些漏洞现在可以被多个组织使用。
自3月中旬以来,研究人员还发现了一项针对俄罗斯联邦政府的活动,该活动使用了上述Exchange零日漏洞。该活动利用了一个以前未知的恶意程序家族,研究人员将其称为FourteenHi。进一步的调查显示了追溯到一年前这种恶意程序变体的活动痕迹,研究人员还发现,在同一时间范围内,与HAFNIUM进行的这些活动集在基础架构和TTP以及ShadowPad恶意程序的使用方面存在一些重叠。
欧洲的APT攻击趋势分析
在对FinFisher间谍程序工具进行常规分析期间,研究人员发现了最近针对FinFly Web部署的跟踪。特别是,研究人员发现使用FinFly Web生成的两台带有Web应用程序的服务器。本质上,FinFly Web是实现基于Web的利用服务器的一组工具和程序包。在Gamma Group遭到黑客攻击后,它于2014年首次被公开。在2019年10月至2020年12月之间,其中一台可疑的FinFly Web服务器处于活跃状态已超过一年。在去年12月研究人员发现后的第二天,该服务器已被禁用。尽管如此,研究人员仍然能够捕获其登录页面的副本,其中包括用于使用以前未知的代码来描述受害者的JavaScript。在第二种情况下,托管FinFly Web的服务器在发现之时已经脱机,因此研究人员使用可用的历史数据得出了结论。事实证明,它在2020年9月前后的很短时间内在主机上处于活动状态,该主机似乎冒充了流行的Mail.ru服务。令人惊讶的是,该服务器于1月12日再次开始回应查询。到目前为止,研究人员还没有看到这些网页删除任何相关的有效载荷。
俄语地区的APT攻击趋势分析
Kazuar是通常与Turla攻击组织(又名Snake和Uroboros)相关联的.NET后门。最近,Kazuar由于与Sunburst后门的相似之处而重新受到关注。尽管Kazuar的功能已经被多次公开,但是有关此后门的许多深入研究实并未公开。研究人员的最新报告重点关注攻击组织对该后门的9月和11月版本所做的更改。
2月24日,乌克兰国家安全防御委员会(NSDC)公开警告说,攻击组织已经利用国家文件传播系统(SEI EB)向乌克兰公共当局传播了恶意文件。该警报包含一些相关的网络IoC,并指定特定文档使用了恶意宏,以便将植入程序传播到目标系统上。多亏了共享的IoC,研究人员才能够非常确定地将这次攻击归因于Gamaredon攻击组织。卡巴斯基从2月份开始就将NSDC提到的恶意服务器IP称为Gamaredon基础架构。
1月27日,法国国家网络安全机构(ANSSI)发布了一份报告,描述了针对2017年至2020年之间公开暴露和过时的Centreon系统的攻击活动,目的是部署Fobushell(又名 P.A.S.)webshell和Exaramel植入程序。 ANSSI将活动与Sandworm攻击集(研究人员称为Hades)联系在一起。尽管研究人员专门寻找了其他受攻击的Centreon系统、Exaramel植入程序样本或相关基础设施,但仍无法检索到任何有用的痕迹,因此无法进行全面调查。但是,研究人员确实确定了已部署Fobushell Webshell的三台Centreon服务器。其中一个Fobushell样本与研究人员先前在Zebrocy C2服务器上确定的另一个样本相同。
华语地区的APT攻击趋势分析
自2020年6月以来,研究人员发现了一系列恶意活动,研究人员将其命名为EdwardsPheasant,主要针对越南的政府组织。攻击组织利用了以前未知且晦涩难懂的后门和加载程序。活动在2020年11月达到顶峰,但目前仍在进行中。相关的攻击组织继续利用其工具和策略来攻击目标或维护其网络中的访问。虽然研究人员可以确定与Cycldek(又名Goblin Panda)和Lucky Mouse(又名Emissary Panda)相关的工具和战术的相似性,但他们无法将这个活动归结为这两个活动中的任何一个。
研究人员调查了一项名为A41APT的长期间谍活动,该活动针对多个行业,包括日本制造业及其海外基地,该活动自2019年3月以来一直活跃。攻击组织利用SSL-VPN产品中的漏洞来部署被称为Ecipekac的多层加载程序(又名DESLoader、SigLoader和HEAVYHAND)。研究人员将此活动和APT10联系在一起。该加载程序部署的大多数发现的有效载荷都是无文件的,以前从未见过。研究人员观察到了SodaMaster(又名DelfsCake,dfls和DARKTOWN),P8RAT(又名GreetCake和HEAVYPOT)和FYAnti(又名DILLJUICE Stage 2),它们依次加载了QuasarRAT。 2020年11月和12月,研究人员发表了两篇有关该活动的博客。一个月后,研究人员观察到了攻击组织的新活动,其中包括他们的某些植入程序的更新版本,这些植入程序旨在逃避安全产品并使研究人员更难进行分析。
中东地区的APT攻击趋势分析
最近,研究人员遇到了被认为是来自于Lyceum / Hexane攻击组织的先前未知的恶意工具集,这表明其背后的攻击组织仍处于活动状态,并且在去年一直在开发升级阶段。尽管Lyceum仍然更喜欢利用DNS隧道,但它似乎已用新的C ++后门和功能相同的PowerShell脚本代替了以前记录的.NET有效内容。研究人员的追踪表明,攻击组织的最新攻击集中在对突尼斯各领域的攻击中。研究人员观察到的受害者都是突尼斯知名的组织,例如电信或航空公司。基于目标行业,研究人员假设攻击组织可能会对攻击这些对象以跟踪他们感兴趣的个人的活动和交流感兴趣。这可能意味着最新的Lyceum组织将重点放在针对突尼斯的行动上,或者这是尚未发现的更广泛活动的分支。
2020年11月19日,Shadow Chaser Group发了一条推文,内容涉及可疑的MuddyWater APT恶意文档,该文档可能针对阿拉伯联合酋长国的一所大学。根据此后的分析,研究人员怀疑此攻击至少是在2020年10月上旬开始并且在2020年12月下旬才停止的活动的一部分。攻击组织依靠基于VBS的恶意程序来感染政府、非政府组织的组织和教育部门。但是,研究人员的追踪表明攻击组织没有部署其他工具,且他们也不认为发生了数据泄漏。研究人员分析,此攻击目前处于行动预备阶段,研究人员预计攻击浪潮将在不久的将来接踵而至。在研究人员的报告中,他们提供了对该攻击组织使用的恶意文档的深入分析,并研究了它们与已知的MuddyWater工具的相似性,特别是基础设施设置和通信方案也类似于以前。 攻击组织正追踪分析第一阶段的C2服务器,以便从VBS植入程序返回连接进行初始通信之前对其进行分析。研究发现,攻击组织在进行最初的侦察后,会将植入程序的通信传播给第二阶段C2,以进行其他下载。最后,研究人员分析了该工具与MuddyWater组织开发的已知TTP的相似之处。MuddyWater组织被认为是一个来自伊朗的APT组织,从2017年活跃至今。其攻击目标国家包括伊拉克、约旦、土耳其、黎巴嫩等中东地区国家,具有较明显的政治意图。目标行业包括政府机构、电信、能源及高科技行业。
Domestic Kitten是一个主要以移动后门闻名的攻击组织,该组织的行动于2018年曝光,这表明它正在对中东地区的个人进行监视并随时准备发起攻击。攻击组织通过向Android用户发送流行的,知名的应用程序(这些应用程序是后门程序并包含恶意代码)来针对Android用户。许多应用程序具有宗教或政治主题,并且是针对波斯语、阿拉伯语和库尔德语的用户,者可能暗示了此次攻击的主要目标。研究人员发现的新的证据表明,至少从2013年开始,Domestic Kitten就一直使用PE可执行文件来使用Windows锁定目标受害者,并且有证据表明它可以追溯到2011年。据研究人员分析,其Windows版本至今尚未发布。该版本中的植入程序功能和基础结构一直保持不变,并已用于该组织今年目睹的活动中。
Domestic Kitten是一个APT组织,自2015年以来一直针对波斯语地区的用户,并且其开发组织似乎设在伊朗。尽管该组织已经活跃了很长时间,但其大部分活动都处于监控之下,据研究人员分析,安全研究人员并未对此组织进行调查。直到最近,当诱饵文件被上传到VirusTotal并被Twitter上的研究人员注意到时,它才引起注意。随后,研究人员对其中一个植入程序进行了分析。目前研究人员已经能够对其扩展功能进行分析了,并提供有关其他变体的分析。在上述文档中提到的被删除的恶意程序称为MarkiRAT,用于记录击键和剪贴板内容,提供文件下载和上传功能以及在受害者计算机上执行任意命令的功能。研究人员可以将该植入程序追溯到2015年,以及旨在劫持Telegram和Chrome应用程序作为持久攻击。多年来,植入程序一直使用的是相同的C2域,这在“Domestic Kitten”的活动中得到了证明。Domestic Kitten组织(APT-C-50)最早被国外安全厂商披露,自2016年以来一直在进行广泛而有针对性的攻击,攻击目标包括中东某国内部持不同政见者和反对派力量,以及ISIS的拥护者和主要定居在中东某国西部的库尔德少数民族。值得注意的是,所有攻击目标都是中东某国公民。伊斯兰革命卫队(IRGC)、情报部、内政部等中东某国政府机构可能为该组织提供支持。
Karkadann是一个攻击组织,至少从2020年10月起就一直针对中东的政府机构和新闻媒体发起攻击。该攻击组织利用具有触发感染链的嵌入式宏的量身定制的恶意文档,在Internet Explorer中打开URL。宏和浏览器规范中存在的最低限度功能表明,攻击组织可能正在利用Internet Explorer中的特权升级漏洞。尽管在Karkadann案中可用于分析的证据很少,但研究人员仍能找到与Piwiks案的相似之处,这是研究人员发现的针对中东多个知名网站的水坑攻击。研究人员还发现了Karkadann最近的攻击活动以及该活动与Piwiks攻击之间的相似之处。自去年以来,研究人员发现一些基础架构与未归类的攻击重叠,这些攻击可能与同一攻击组织联系在一起。
本文翻译自:https://securelist.com/apt-trends-report-q1-2021/101967/如若转载,请注明原文地址。