执行摘要

四年以来,卡巴斯基全球研究和分析团队(GReAT)一直在发布高级持续性威胁(APT)活动的季度总结。这些摘要基于我们的威胁情报研究,我们在私人APT报告中发表和讨论了更详细内容。它们旨在强调我们认为人们应该注意的重大事件和发现。

这是我们最新的报告,主要包括我们在2021年第三季度观察到的活动。

显著发现

去年12月报道的SolarWinds事件之所以引人注目,是因为攻击者极其谨慎,并且其受害者的关注度也非常高。证据表明,攻击背后的威胁行为者DarkHalo(又名Nobelium)在OrionIT的网络中花费了六个月时间来完善他们的攻击。今年6月,也就是DarkHalo消失的6个多月后,我们观察到独联体成员国的多个政府区域的DNS劫持事件,攻击者可以将政府邮件服务器的流量重定向到他们控制的计算机上。

当受害者试图访问他们的公司邮件时,他们被重定向到一个虚假的网页界面。在这之后,他们被诱骗下载了以前未知的恶意软件。该后门被称为Tomiris,与DarkHalo去年使用的第二阶段恶意软件Sunshuttle(又名GoldMax)有许多相似之处。然而,Tomiris和Kazuar之间也有一些重叠,Kazuar是一个后门,与Turla APT威胁行为者有关。没有任何相似之处足以将 Tomiris 和 Sunshuttle 高度可信地联系起来,但是,它们存在共同作者或共享的开发实践的可能性。可以通过阅读我们之前的研究以了解更多关于我们的发现。

免责声明:

当提到APT组织是讲俄语、讲中文或 "讲"其它语言时,我们指的是这些组织使用的各种软件(如恶意软件调试字符串、脚本中发现的注释等)包含这些语言的单词,这是基于我们直接获得的信息或其它公开已知和广泛报道的信息。某些语言的使用不一定表明特定的地理关系,而是指出这些APT工具包背后的开发者所使用的语言。

俄语范围

本季度,我们发现了几个典型的Gamaredon恶意感染文件、投放器和植入物;这可能表明一个正在进行的针对乌克兰政府的恶意活动,该活动可能从5月就开始了。我们无法准确识别相关的感染链,因为我们只能从任何实时开发环境中检索到其中的一部分。但是,我们能够以中到高的可信度将这些活动归因于Gamaredon。我们的私人报告详细介绍了各种投放器以及解码器脚本,以及对DStealer 后门和我们观察到的与该活动相关的大型基础设施的分析。

ReconHellcat是一个鲜为人知的威胁行为者,在2020年被公开发现。关于其活动的最早记载可以追溯到去年3月,在MalwareHunterTeam的一条推文中描述了携带COVID相关诱饵文件名的档案,其中包含一个恶意的可执行文件。

BlackWater将投放并打开一个诱饵文件,然后作为 C2 服务器联系 Cloudflare Workers,这是一个不寻常的选择,在其他行为者中并不经常遇到。自从第一次发现入侵程序以来,类似的TTP已经被用作QuoIntelligence报道的其它攻击的一部分,这表明潜在的攻击者正在以一种有针对性的方式运作,同时追求高知名度的政府相关目标。这种活动似乎一直持续到2021年,当时我们发现使用相同的技术和恶意软件的一系列攻击,以在中亚的外交组织中获得立足点。在我们的私人报告中,我们描述了这一活动,并注意到该行为者对感染链中的元素所做的各种改变,这可能是由于其活动先前被公开曝光的结果。

从那时起,我们发现了由ReconHellcat操作的其它文件;从8月到9月,出现了一个新的活动,其感染链不断发展。Zscaler的研究人员在一篇博文中也提到了这个活动,在重新开始的活动中引入的一些变化包括依靠微软Word模板(.dotm)来实现持久性,而不是以前使用的微软Word附加组件(.wll)。尽管如此,一些TTP仍然没有改变,因为新的感染链仍会提供相同的最终植入物Blacksoul恶意软件,并且仍然使用Cloudflare Workers作为C2服务器。ReconHellcat的目标是与中亚国家有关的政府组织和外交实体,如塔吉克斯坦、吉尔吉斯斯坦、巴基斯坦和土库曼斯坦。此外,我们还确定了没有遇到前一波攻击的两个受害国家:阿富汗和乌兹别克斯坦。我们以中等可信度评估ReconHellcat是一个讲俄语的威胁行为者。

中文范围

一个疑似HoneyMyte的APT威胁行为者,修改了南亚某国分发服务器上的指纹扫描仪软件安装程序包。APT 修改了一个配置文件,并在安装包中添加了一个带有.NET版本的PlugX注入器的DLL。在安装时,即使没有网络连接,.NET 注入器也会解密 PlugX 后门Payload并将其注入新的 svchost 系统进程,并试图向C2发送beacon。南亚某国中央政府员工必须使用此生物识别包来支持考勤记录。我们把这个供应链事件和这个特殊PlugX 变体称为 SmudgeX,木马的安装程序似乎是从3月到6月在分发服务器上安装的。

在 2020 年和 2021 年期间,我们检测到一个名为 ShadowShredder 的新 ShadowPad 加载器模块,该模块用于攻击多个国家/地区的关键基础设施,包括但不限于印度、中国、加拿大、阿富汗和乌克兰。经过进一步调查,我们还发现了通过 ShadowPad 和 ShadowShredder 部署的其它植入程序,例如 Quarian 后门、PlugX、PoisonIvy 和其它黑客工具。值得注意的是,Quarian 后门和Poison Ivy 与之前针对中亚用户的 IceFog 活动表现出相似之处。ShadowPad 是 APT 组织自2017 年以来一直使用的高度复杂的模块化网络攻击平台。我们以前发表了一篇文章详细介绍了 ShadowPad 的技术细节及其最初发现后的供应链攻击活动,当时它被一个名为 Barium 或 APT41 的APT 组织部署。在 2020 年第一季度,我们发布了有关发现x64 ShadowPad投放器样本的私人报告。加载器模块使用了一种独特的反分析技巧,该技巧涉及加载器模块在解密嵌入的 shellcode 之前,通过在加载器模块的内存空间中查看一些硬编码字节来检查它是否已通过特定的 EXE 文件加载。我们最近发现的 ShadowShredder 加载器没有使用这种技术,而是采用了一种新的混淆方法。我们的报告讨论了ShadowShreder的技术分析以及使用与ShadowShreder和ShadowPad链接的第二阶段Payload的相关活动。

ESET在6月份发表了一篇文章,描述了一项针对非洲和中东地区的外交部和电信公司的活动,他们称之为BackdoorDiplomacy(后门外交),并将其归因于中文攻击者。我们将这一活动与我们正在追踪的一个别名为CloudComputating的攻击者联系起来,该攻击者已知以中东地区的高知名度实体为目标。在他们的调查中,ESET 发现了一个与 Windows 变体共享 C2 服务器的 Quarian Linux 变体样本,据说该样本是通过利用F5 Networks的BIG-IP流量管理用户界面或配置工具中的已知RCE漏洞(CVE-2020-5902)部署的。一年前的 2020 年 7 月,SANS ISC报告中还提到了相同的 Quarian ELF 二进制文件被部署在 F5 BIG-IP 服务器上。我们的私人研究报告扩大了对Quarian Linux变体及其与Windows版本的联系的分析。

去年,我们发现了一场归因于CloudComputating的活动,其中APT行为者利用一个已知的漏洞破坏了公开暴露的微软Exchange服务器,并使其感染了China Chopper Web shell。恶意Payload随后被用来上传其它的恶意软件,通常为2010 年左右开始被中文攻击者所使用的 Quarian 后门。这一活动影响了埃塞俄比亚、巴勒斯坦和科威特。ESET的文章(如前所述)使我们能够将他们的活动与我们去年6月描述的活动联系起来,并扩大我们以前的调查,找到新的未知变体和受害者。我们的私人报告涵盖了被ESET称为Turian的版本,另外两个以前未知的Quarian版本,以及用于生成恶意 Quarian 库的构建器组件的概述和IoC 扩展列表。

ExCone是在3月中旬开始针对俄罗斯联邦目标的一系列攻击。攻击者利用微软Exchange的漏洞,部署了一个以前未知的木马,我们称之为FourteenHI。在我们之前的分析中,我们发现基础设施和TTP与ShadowPad恶意软件和UNC2643活动存在多种联系。但是,我们无法将该攻击归因于任何已知的行为者。在我们的第一份报告之后,我们继续监测这一系列活动,我们发现了许多其它变体,这扩展了我们对攻击者和活动本身的了解。我们发现了针对大量目标使用的新恶意软件样本,受害者遍及欧洲、中亚和东南亚。我们还观察到其他各种供应商公开报告的活动集群,我们能够以高度的信心将其与ExCone联系起来。最后,我们发现了一个新的恶意软件样本,使我们能够地将ExCone与SixLittleMonkeys APT组织联系在一起,但可信度较低。具体来说,我们发现一个被FourteenHI和另一个未知后门入侵的受害者。这个新的 "未知后门"与FourteenHI和Microcin都有相似之处,Microcin是一个专门归属于SixLittleMonkeys的木马,我们在威胁情报网站上的其它报告中对此进行了描述。

本季度,我们还继续调查了众所周知的南亚地区的中文活动。我们发现了另一组在2019年至2021年6月底期间针对印度的航空航天和国防研究机构的TTP,其中包含两个以前未知的后门:LGuarian和HTTP_NEWS。前者似乎是Quarian后门的一个新变体,这个攻击者也使用了它。基于我们的遥测技术,我们获得了关于攻击者的后利用过程的大量信息,并能够提供他们在这个阶段使用的各种工具的详细信息,以及在受害者的机器上执行的操作。这使我们能够收集大量的恶意软件样本,随后发现攻击者基础设施的重要部分。

6月3日,Check Point发布了一份关于针对东南亚政府的持续监视行动的报告,并将这些恶意活动归因于一个名为SharpPanda的使用中文的威胁行为者。我们发布了一份私人报告,根据我们自己对此威胁的可见性,提供了相关恶意活动和工具的额外数据。

今年4月,我们调查了一些模仿微软更新安装程序文件的恶意安装程序文件,这些文件使用从一家名为QuickTech.com 的公司窃取的数字证书进行签名。这些伪造的安装程序表现出非常有说服力的视觉效果,这反映了攻击者为使它们看起来合法而付出的努力。最后的Payload是一个Cobalt Strike beacon模块,也配置了"microsoft.com "子域的C2服务器。C2域code.microsoft[.com是一个Dangling DNS子域,由攻击者在4月15日左右注册,伪装成Visual Studio Code官方网站。受害者被诱骗通过虚假的微软更新目录网页在他们的机器上下载和执行这些安装程序,该网页也托管在另一个Dangling DNS子域"microsoft.com "上。在调查这些恶意安装程序文件时,我们发现了其它的恶意二进制文件,根据各种迹象,我们认为这些文件是由同一个威胁行为者开发和使用的,至少从1月起一直活跃到6月。我们的私人报告对这个威胁行为者的扩展工具集进行了分析,我们将其命名为CraneLand。

7月,我们在两个公开批评某网站上发现了可疑的JavaScript(JS)内容,这些内容似乎是合法的。混淆后的JS从一个冒充Google的远程域名加载,并启动了一个恶意的JS Payload链。被攻击的网站仍然包含JS,但我们无法将任何其它恶意活动或基础设施与这种水坑攻击联系起来。恶意JS似乎不符合传统的网络犯罪目标,而且与我们在其它水坑攻击中观察到的活动相比,它的活动很不寻常。我们认为,恶意 JS Payload旨在对来自中国大陆的个人进行分析和定位。应仔细审查与所述恶意域的任何连接,以寻找后续的恶意活动。

中东地区

Lyceum是一个威胁组织,至少从2018年开始针对中东地区的高知名度目标开展活动。今年,我们发现了该组织针对突尼斯航空和电信部门的重大活动。在整个活动中,攻击者在开发两个新的基于 C++ 的恶意软件植入物时展示了活力和敏捷性,我们称之为 Kevin 和 James。两者都依赖于该组织使用的旧恶意软件的技术和通信协议,并创造了DanBot。在我们报告了这一活动并针对该组织新发现的植入物部署相应安全保护后,我们观察到攻击者反复尝试部署我们以前的报告中未涉及的新样本。其中一些样本显示,攻击者还利用了两个新的C2域,可能是绕过安全机制的手段,这些安全机制减轻了与已知域的通信。这种努力体现了该组织坚持危害目标组织的特点,并表明它在被发现后并没有停止运作,这一事实可以通过该组织最近公开曝光的另一组活动得到加强。你可以在 " Lyceum group reborn"一文中阅读更多关于我们的发现。

东南亚及朝鲜半岛

6月,我们观察到 Lazarus 组织使用 MATA 恶意软件框架攻击国防工业。从历史上看,Lazarus 使用 MATA 攻击各个行业,以实现类似网络犯罪的意图:窃取客户数据库和传播勒索软件。但是,在这里我们发现 Lazarus 使用 MATA 进行网络间谍活动。攻击者提供了一个已知的受害者所使用的应用程序的木马化版本,代表了Lazarus的已知特征。执行这个应用程序会启动一个多阶段的感染链,首先是一个下载器。该下载器从C2 服务器中获取额外的恶意软件。我们能够获得多个MATA组件,包括插件。与以前的版本相比,这次活动中发现的MATA恶意软件有所发展,并使用合法的、被盗的证书来签署其某些组件。通过这项研究,我们发现MATA和Lazarus组织之间有更强的联系,包括获取MATA恶意软件的下载器显示了与TangoDaiwbo的联系,我们之前将其归因于Lazarus组织。

我们还发现了使用更新的 DeathNote 集群的 Lazarus 团体活动。第一次涉及 6 月份对韩国智库的袭击。第二次是 5 月份对 IT 资产监控解决方案供应商的攻击。我们的调查揭示了指向 Lazarus 建立供应链攻击能力的迹象。在一个案例中,我们发现感染链源于合法的韩国安全软件执行恶意Payload;在第二个案例中,目标是一家在拉脱维亚开发资产监控解决方案的公司,该公司是Lazarus 的非典型受害者。DeathNote 恶意软件集群包含一个稍微更新的 BLINDINGCAN 变体,这是美国 CISA(网络安全和基础设施安全局)之前报告过的恶意软件。BLINDINGCAN 还被用于交付 COPPERHEDGE 的新变体,在 CISA 的一篇文章中也有报道。我们之前曾在 2020 年 1 月报告了对 COPPERHEDGE 的初步发现。作为感染链的一部分,Lazarus 使用了一个名为 Racket 的下载器,他们使用窃取的证书签名。由于使用本地 CERT 接管攻击者的基础设施,我们有机会研究与 DeathNote 集群相关的几个 C2 脚本。该攻击者破坏了易受攻击的 Web 服务器并上传了几个脚本来过滤和控制目标受害者机器上的恶意植入物。

Kimsuky团伙是目前最活跃的 APT 集团之一。攻击者以专注于网络间谍活动而闻名,但偶尔会为了经济利益而进行网络攻击。与其他 APT 组织一样,Kimsuky 包含几个集群:BabyShark、AppleSeed、FlowerPower和 GoldDragon。每个集群使用不同的方法并具有不同的特点:

  • BabyShark 在 C2 操作中严重依赖脚本化恶意软件和受感染的 Web 服务器;

  • AppleSeed 使用名为AppleSeed 的独特后门;

  • FlowerPower 使用PowerShell 脚本和恶意的 Microsoft Office 文档;

  • GoldDragon 是最古老的集群,最接近原始的 Kimsuky 恶意软件。

然而,这些集群也显示出一些重叠。特别是,GoldDragon和FlowerPower在其C2基础设施中共享连接。但其它集群也与 C2 基础设施有少量连接。我们评估 BabyShark 和 AppleSeed 的运营策略不同。

早在 5 月,我们就发表了一份关于新发现的Andariel活动的报告。在此活动中,位于韩国的众多行业都是勒索软件的目标。在我们的研究中,我们发现攻击者使用两个载体来破坏目标。第一个是使用带有恶意宏的武器化 Microsoft Office 文档。在我们最初报告时,第二个载体仍然未知,但我们发现了包含工具 ezPDF Reader 路径的工件,该工具由一家名为 Unidocs 的韩国软件公司开发。我们缺少明确的证据表明攻击利用了该软件中的漏洞,为了解决这个谜团,我们决定审计该应用程序的二进制文件。我们对该软件的分析使我们发现了 ezpdfwslauncher.exe 中的一个远程代码执行漏洞,该漏洞可以被利用来入侵网络上装有 ezPDF Reader的计算机,而无需任何用户交互。我们非常自信地评估Andariel 组织在其攻击中使用了相同的漏洞。在这个发现后,我们联系了 Unidocs 的开发者,并与他们分享了此漏洞的详细信息,它已被修复,CVE ID为CVE-2021-26605。

本季度我们描述了与 Origami Elephant 威胁参与者(又名 DoNot 团伙,APT-C-35,SECTOR02)相关的活动,这些活动从 2020 年初一直持续到今年。Origami Elephant 继续利用已知的 Backconfig(又名 Agent K1)和 Simple Uploader 组件,但我们也发现了名为 VTYREI(又名BREEZESUGAR)的鲜为人知的恶意软件用作第一阶段的Payload。此外,我们观察到了一种独特的技术,可以对恶意文档中使用的远程模板进行编码,我们还没有看到其他威胁行为者使用过这种技术。受害者与过去的行动一致:攻击者继续关注南亚地区,对主要位于巴基斯坦、孟加拉国、尼泊尔和斯里兰卡的政府和军事实体特别感兴趣。

我们还跟踪了从 2020 年底到我们的报告发布时针对 Android 手机的 Origami Elephant 活动,从我们去年报告中停止的地方开始。我们看到该基础设施仍然处于活动状态,与我们之前报告的恶意软件进行通信,尽管在代码混淆方面有一些变化。攻击目标与去年相同,受害者位于南亚地区:尤其是印度、巴基斯坦和斯里兰卡。与去年的活动相比,该攻击者修改了感染链。我们观察到 Android 特洛伊木马不再传递一个下载器,而是直接交付。这是通过指向恶意登录页面的链接或通过某些即时消息平台(例如 WhatsApp)直接发送消息来完成的。我们分析的样本模仿了各种应用程序,例如私人消息传递、VPN、和媒体服务。我们的报告涵盖了 Origami Elephant 针对 Android 设备的活动现状,并提供了最新和历史活动相关的额外 IoC。利用我们之前研究中的可用线索扫描互联网,我们能够发现新部署的主机,在某些情况下甚至在它们变得活跃之前。

其它有趣的发现

9月,我们提供了一个关于FinSpy PC 植入物的概述。它不仅涵盖了 Windows 版本,还涵盖了 Linux 和 macOS 版本,它们共享相同的内部结构和功能。FinSpy 是一个臭名昭著的监视工具集,一些非政府组织多次报告说它被用来对付记者、政治异议人士和人权活动家。从历史上看,它的Windows植入是由单阶段的间谍软件安装程序表示的。直到 2018 年,此版本已被多次检测和研究。从那时起,我们观察到 FinSpy for Windows 的检测率不断下降。虽然这种异常现象的性质仍然未知,但我们开始检测一些带有 Metasploit stagers 后门的可疑安装程序包。直到 2019 年年中,当我们在适用于 Android 的 FinSpy Mobile 植入程序中找到为这些安装程序提供服务的主机时,我们才能够确定这些软件包的属性。在我们的调查过程中,我们发现后门安装程序只不过是第一阶段的植入物,用于在实际的 FinSpy 木马之前下载和部署进一步的Payload。除了木马安装程序之外,我们还观察到涉及使用 UEFI 或 MBR bootkit的感染。虽然 MBR 感染至少在 2014 年就已为人所知,但 UEFI bootkit 的详细信息仅在我们的文章中首次公开披露。我们决定分享一些关于FinSpy 植入物实际状态的未知发现,可以通过阅读我们的公开报告了解更多信息。

在第三季度末,我们发现了一个以前未知的具有高级功能的Payload,它通过两个感染链传递给中东的各种政府组织和电信公司。该Payload使用 Windows 内核模式 rootkit 来促进其某些活动,并且能够通过 MBR 或 UEFI bootkit进行持久部署。有趣的是,在这次攻击中观察到的一些组件以前曾多次被Slingshot代理放在内存中,Slingshot是一个后开发框架,我们在过去的几个案例中介绍过(不要与“Slingshot”APT混淆)。它主要以正式为红队参与设计的专有商业渗透测试工具包而闻名。然而,这不是攻击者第一次利用它。我们之前在 2019 年发布的一份关于 FruityArmor 活动的报告显示,威胁组织利用它来针对中东多个行业的组织,可能是利用 Skype 中的漏洞作为感染载体。在最近的一份私人情报报告中,我们对新发现的恶意工具包进行了深入分析,我们观察到它与Slingshot一起,以及它是如何在野外的活动集群中被利用的。最值得注意的是,我们概述了该恶意软件中明显的一些高级功能,以及它在针对伊拉克高调外交目标的特定长期活动中的使用情况。

最后的想法

虽然一些威胁行为者的 TTP 会随着时间的推移保持一致,主要将社会工程作为在目标组织中立足或破坏个人设备的一种手段,但其他威胁者则更新了他们的工具集并扩展了其活动范围。我们的定期季度审查旨在突出 APT 团体的主要发展。

以下是我们在 2021 年第三季度看到的主要趋势:

  • 我们继续发现供应链攻击,包括 SmudgeX、DarkHalo 和Lazarus 的攻击。

  • 在本季度中,我们重点研究并拆除监控框架,跟踪我们检测到的恶意活动。这些活动包括FinSpy和使用称为Slingshot的商业后开发框架提供的高级且功能强大的Payload。这些工具包含强大的隐蔽功能,例如使用bootkits进行持久化。Bootkits 仍然是一些高调的 APT 攻击常利用的组件,尽管微软已经添加了各种缓解措施,使它们在 Windows 系统上不那么容易部署。

  • 我们观察到本季度的中文活动异常激增,尤其是与年初相比。相比之下,我们发现本季度中东的活动有所减少。

  • 社会工程学仍然是发起攻击的关键方法;还有漏洞利用(CloudComputating、Origami Elephant、Andariel),包括利用固件漏洞。

  • 正如各种威胁行为者(包括 Gamaredon、CloudComputating、ExCone、Origami Elephant、ReconHellcat、SharpPanda)的活动所表明的那样,geo-politics(地缘政治)继续推动 APT 的发展。

与往常一样,我们会注意到我们的报告是我们对威胁形势的可见性的产物。但是,应该记住的是,在我们努力改进的同时,也有可能出现其它复杂的攻击能够规避我们的检测和侦察。

原文链接:

https://securelist.com/apt-trends-report-q3-2021/104708/

声明:本文来自维他命安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。