卡巴斯基：2019年第一季度APT趋势报告

概述

在短短两年时间内，卡巴斯基实验室的全球研究与分析团队（GReAT）一直在发布高级持续威胁（APT）活动的季度摘要。这些摘要基于我们的威胁情报研究，并提供了我们在具体的APT研究中具有代表性的典型案例。我们团队的目标是，突出体现应该提醒大家注意的重大事项和发现。

本报告是我们最新发布的一期，重点介绍我们在2019年第一季度观察到的活动。

重点发现

近年来，攻击者针对供应链的攻击已经取得一定的成功，ShadowPad、CCleaner和ExPetr就是很好的例子。在我们对2019年的威胁预测中，我们将其标记为可能持续的攻击向量，并且不需要等待很长时间，就看到这一预测成为了现实。2019年1月，我们发现了一个复杂的供应链攻击活动，涉及到ASUS Live Update Utility，这是为华硕笔记本电脑和台式机提供BIOS、UEFI和软件更新的机制。“ShadowHammer活动”背后的攻击者为这一实用程序添加了一个后门，然后通过官方渠道将其分发给用户。攻击的目标是精确定位由其网络适配器MAC地址标识的未知用户池。我们发现，攻击者将一系列MAC地址硬编码到木马化样本中，这也表示了这一大规模行动的真正目标，我们能够从此次攻击中发现的200多个样本中提取600多个唯一的MAC地址，同时也存在针对不同MAC地址的其他样本。

与俄语相关的恶意活动

在今年上半年，使用俄语的恶意组织不是特别活跃，没有值得关注的技术或运营方面的变化。然而，他们持续开展不间断的传播活动，特别关注政治活动。

这一点，在以乌克兰选举为重点的攻击中非常明显。在我们发现针对德国政治顾问组织的恶意Word文档后，攻击活动就浮出水面。根据该恶意组织的网站，他们“为国际政治和外交与安全政策的政治决策者提供建议”。我们对该恶意组织的攻击技术进行了分析，最终表明，该恶意活动背后有Sofacy或Hades组织的支持，但我们无法确定这些团体中的哪一个是其真正的幕后主使。

这种以政治利益为目标的攻击活动并不新鲜。在最近，弗吉尼亚州的一家法院要求Microsoft强行控制了一组网站，这些网站看起来像华盛顿智囊团的登录网站，但被怀疑是俄罗斯恶意组织在DNC黑客攻击中基础设施的一部分。

此外，Microsoft透露，俄罗斯民族国家黑客组织的目标是影响定于5月底举行的2019年欧洲议会选举。

在技术方面，自从2019年1月中旬以来，我们一直在追踪针对土库曼斯坦和塔吉克斯坦政府机构的Turla恶意活动。这一次，攻击者使用新的.NET恶意软件（称为“Topinambour”，又名“Sunchoke”）传播其已知的JavaScript KopiLuwak。Topinambour Dropper与合法软件一起交付，其中包含一个小型.NET Shell，将会等待来自恶意运营者的Windows Shell命令。值得关注的是，攻击者使用了以JavaScript、.NET和PowerShell实现的不同恶意文件，其中每个文件都具有类似的功能。

我们还发布了有关Zebrocy如何将Go语言添加到其武器库的详细信息，这是我们第一次观察到知名的APT威胁组织使用这种编译的开源语言来部署恶意软件。Zebrocy继续瞄准中亚地区的政府相关组织，其中包括其国内和偏远地区，以及中东的新外交目标。

最后，在2019年2月，我们发现了高度针对克里米亚的未知恶意软件攻击，这一类型的恶意软件在此前从未被发现过。间谍程序伪装成俄罗斯著名安全公司的VPN客户端，通过电子邮件的方式传播，并声称提供保护网络的解决方案。目前，我们无法将该活动与任何已知的恶意组织联系起来。

与中文相关的恶意活动

在2019年的最初几个月，使用中文的恶意组织最为活跃，他们在传统上是针对东南亚的不同国家。近期，美国司法部起诉两名亚洲籍公民，声称他们涉嫌计算机黑客、欺诈和严重的身份盗用，并认定他们是APT10恶意组织的成员，代表某国外交部开展非法活动。

同样，据报道，CactusPete（又名LoneRanger、Karma Panda和Tonto Team）在2012年至2014年期间，针对韩国、日本、美国和台湾组织发动攻击。在过去六年中，攻击者很可能依赖于相同的代码库和植入变种。然而，自2018年以来，这些代码已经大规模扩展。该恶意组织针对其目标，利用Word中的公式编辑器漏洞，以及经过适当修改和重新包装后的DarkHotel VBScript 0-day漏洞，承载经过修改和重新编译后的Mimikatz变种、GSEC和WCE凭据窃取工具、键盘记录工具、各种权限提升工具、各种较旧的实用程序和一组更新的后门，以及似乎是自定义下载工具和后门模块的新变种。

自2018年4月以来，我们一直在监控针对越南政府和海外外交实体的恶意活动。我们将这项名为“SpoiledLegacy”的恶意活动归因于LuckyMouse APT组织（又名EmissaryPanda和APTT27）。恶意运营者使用渗透测试框架，例如Cobalt Strike和Metasploit。尽管我们认为，该恶意组织利用网络服务的漏洞作为其主要的初始感染媒介，但我们也发现了包含诱饵文档的鱼叉式网络钓鱼消息。我们相信，与之前的LuckyMouse恶意活动一样，内部数据库服务器也是目标之一。在攻击的最后阶段，他们针对32位和64位系统，分别使用特制的注入系统进程内存的木马。值得强调的是，感染链中的所有工具，都使用了泄漏的HackingTeam代码，动态混淆Win32 API调用。

FireEye将APT40定义为具有亚洲某国国家背景的威胁组织，此前曾经被称为TEMP.Periscope、Leviathan和TEMP.Jumper。根据FireEye的说法，该组织至少从2013年以来，就开始支持亚洲某国家的海军现代化工作，专门针对工程、运输、国防工业，特别是与海事技术相关的目标进行攻击。最近，FireEye还观察到该恶意组织针对“一带一路”倡议具有战略重要性的国家和地区发动攻击，其中包括柬埔寨、比利时、德国、香港、菲律宾、马来西亚、挪威、沙特阿拉伯、瑞士、美国和英国。

有趣的是，针对日本的APT10使用更新版本的ANEL，我们发现该恶意软件与之前BlueTermite使用的恶意软件Emdivi之间的相似之处，这也暗示了两个恶意组织之间的潜在联系。

与东南亚和朝鲜半岛相关的恶意活动

这一区域，似乎是世界范围内APT活动最活跃的地区。

今年1月，我们确定了Transparent Tribe APT组织（也称为PROJECTM、MYTHIC LEOPARD），这是一个与巴基斯坦密切相关的威胁组织，一直针对印度的军事目标发动攻击。

今年2月，我们确定了一系列针对印度军事组织的恶意活动。目前，我们无法将这一恶意活动归因于任何已知的威胁组织。攻击者依靠水坑和鱼叉式网络钓鱼来感染他们的受害者。具体而言，他们破坏与战争研究相关的智囊团的网站，并使用该网站来托管分发Netwire RAT变种的恶意文档。我们还发现了在同一时期内，军事人员俱乐部被攻陷，并用于分发同一恶意软件的证据。

根据Palo Alto报道，在此期间，OceanLotus是另外一个活跃的恶意组织，他们使用了一种名为KerrDown的新下载工具。在年初，该恶意组织使用新编译的样本，我们在该组织发动的新一轮攻击中发现了他们活动的迹象。ESET近期也发现了该恶意组织针对macOS的新增功能。

在2018年中期，我们在关于“AppleJeus恶意活动”的报告中强调了Lazarus威胁行为者对加密货币交易的关注。其中，一项重要的发现是该恶意组织具备了针对macOS发动攻击的新能力。从那之后，Lazarus扩大了对该平台的运营。我们进一步跟踪该组织的活动，发现了一项新的恶意活动，至少从2018年11月开始运营。该恶意活动利用PowerShell控制Windows系统，利用针对苹果的恶意软件来对macOS系统发动攻击。Lazarus并不是唯一针对加密货币交易的APT组织。Kimsuky恶意组织还将其活动领域扩展到针对个人和企业，特别是在韩国地区。

最后，在今年年初，南亚的Bitter组织使用了一个新型的简单下载工具（Palo Alto将其称为ArtraDownloader），将BitterRat木马传播到沙特阿拉伯和巴基斯坦的目标组织。

与中东相关的恶意活动

令人惊讶的是，在今年的前几个月，中东地区的恶意活动显然没有过去那么激烈。即便如此，这一地区仍然是一些恶意组织针对的目标，例如Chafer和Bitter。

我们还观察到，Gaza Team和MuddyWater的一些恶意活动。不过，这只能代表他们继续以该地区为目标，但在恶意运营和技术改进方面没有任何新的表现。

其他值得关注的发现

在2018年末，我们在野外观察到了新版本的FinSpy iOS植入工具。这是FinSpy Mobile的一部分，而FinSpy Mobile是监控解决方案开发商Gamma Group提供的产品。FinSpy for iOS实现了广泛地间谍软件功能，允许恶意人员跟踪受感染设备上的几乎所有内容，包括按键、消息和呼叫。有一个很大的限制，就是当前版本的恶意软件只能安装在越狱后的设备上。我们认为，Gamma组织不会为越狱受害者的手机提供漏洞利用工具，但他们会为客户提供如何对手机进行自行越狱的建议和支持。根据我们的遥测，展示了针对印度尼西亚和蒙古目标的植入痕迹。然而，由于Gamma的客户众多，这可能只是受害者中的一小部分。

在这项研究之后，我们发现Android的新版本大约在2018年6月发布。尽管在功能方面非常相似，但它实现了针对特定平台的独特功能，例如通过滥用脏牛漏洞（DirtyCow，CVE-2016-5195）获取root权限。与iOS版本一样，这一植入工具具有从即时通信软件中获取数据的功能，包括Threema、Signal、Whatsapp和Telegram，同时还可以从内部设备获取消息，包括但不限于电子邮件和SMS消息。

2月份，我们的AEP（自动漏洞利用防护）系统检测到试图利用Windows中的漏洞，这是我们近期发现的连续第四次利用Windows的本地特权提升漏洞。经过进一步分析，我们发现了win32k.sys中的0-day漏洞，我们在2月22日向Microsoft报告了这一漏洞，他们迅速确认了漏洞的存在，并为其分配了CVE-2019-0797的编号。Microsoft在2019年3月12日发布了一个补丁，并公开感谢卡巴斯基实验室的研究人员Vasiliy Berdnikov and Boris Larin。我们认为，这一漏洞曾经被几个威胁组织所利用，包括但不限于FruityArmor和SandCat。众所周知，FruityArmor之前使用过0-day漏洞，而SandCat是我们最近才发现的新APT组织。在野外发现的漏洞，利用了Windows 8到Windows 10 Build 15063范围内的64位操作系统。

值得关注的是，FrutiyArmor和SandCat似乎遵循了并行的路径，二者同时使用相同的漏洞利用方法。这似乎表明，有第三方在向他们提供这样的漏洞利用方法。

勒索软件已经成为APT组织的重要工具，因为它可以用于删除攻击痕迹、进行网络破坏。我们持续关注一系列勒索软件攻击，因为这一系列攻击似乎只对较大的目标感兴趣。LockerGoga近期破坏了Altran、Norsk Hydro和其他攻击的系统。目前还不清楚攻击的幕后主使、其主要目的以及最先感染受害者的感染途径。目前，暂不清楚LockerGoga属于勒索软件还是清除数据的恶意软件。恶意软件用于加密数据，并显示勒索提示，要求受害者与攻击者取得联系并进行解密，从而换取受害者的比特币付款。然而，研究人员观察到最新版本，他们通过更改密码的方式，使受害者不具备重新登录系统的能力，让受害者无法再访问受感染的系统。在这种情况下，受害者甚至可能无法看到勒索提示。

总结

回顾第一季度以来的APT相关事件，即使我们感觉没有发生任何具有突破性的事件，但还是发现了一些值得关注和具有不同演变的威胁。

针对这一季度的APT事件进行总结，我们可以得出以下结论：

1. 地缘政治作为APT活动的主要推动力，并且这一趋势还在不断增长。

2. 就APT活动而言，东南亚仍然是世界上APT最为活跃的地区，但这也可能与一些组织经验较少，产生的“噪音”相关。

3. 与近年相比，使用俄语的恶意组织始终保持低调，这可能代表着他们正在进行内部重组，但这仅仅是我们的一个假设。

4. 使用中文的恶意组织始终保持高水平的活动，其恶意活动同时结合了低级的复杂性和高级的复杂性。

5. 为政府和其他实体提供商业恶意软件的厂商仍然持续发展，并且他们的客户也在不断增多。

如果要选出本季度最值得关注的一件事，我们认为ShadowHammer恶意活动结合了几个已知APT活动当前使用的方法。这是一个先进的、具有针对性的活动，利用攻击链进行分发，规模非常广泛。在该恶意活动中，涉及了若干步骤，包括对其目标MAC地址的原始收集。这似乎是一个新的趋势，因为该组织还针对恶意软件分发的其他受害者，展现出供应链攻击一种非常令人担忧的趋势。

如往常一样，这只是我们目前观察到的已知攻击。我们始终在致力于发现其他复杂攻击，并会持续尝试进行改进，以发现当前存在的更多恶意攻击。

https://securelist.com/apt-trends-report-q1-2019/90643/

声明：本文来自嘶吼专业版，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。