接上文：《2020年第三季度APT攻擊趨勢(shì)分析(上)》

中東地區(qū)的攻擊活動(dòng)

今年6月，卡巴斯基觀察到MuddyWater APT小組的新活動(dòng)，包括使用一組新的工具，這些工具構(gòu)成了加載惡意程序模塊的多級(jí)框架。該框架的某些組件利用代碼與C2進(jìn)行通信，這與卡巴斯基在今年早些時(shí)候的MoriAgent惡意程序中觀察到的代碼相同。

因此，卡巴斯基決定將新的框架命名為MementoMori。新框架的目的是為了進(jìn)一步促進(jìn)內(nèi)存中PowerShell或DLL模塊的執(zhí)行。目前卡巴斯基已經(jīng)發(fā)現(xiàn)了來(lái)自土耳其、埃及和阿塞拜疆的受害者。

[[353052]]

東南亞和朝鮮半島地區(qū)的攻擊活動(dòng)

今年5月，卡巴斯基發(fā)現(xiàn)了屬于Dtrack家族的一個(gè)新樣本，第一個(gè)示例名為Valefor，是Dtrack RAT的更新版本，其中包含了一個(gè)新功能，使攻擊者能夠執(zhí)行更多類型的有效載荷。第二個(gè)示例是一個(gè)名為Camio的鍵盤記錄程序，它是其鍵盤記錄程序的更新版本。這個(gè)新版本更新了日志信息及其存儲(chǔ)機(jī)制，卡巴斯基觀察到的跡象表明這些惡意程序程序是為特定受害者量身定制的，目前發(fā)現(xiàn)的受害者在日本。

自去年12月以來(lái)，卡巴斯基一直在追蹤LODEINFO，一種用于定向攻擊的無(wú)文件惡意程序。在此期間，卡巴斯基觀察了幾個(gè)版本的開(kāi)發(fā)者開(kāi)發(fā)的惡意程序。5月，卡巴斯基檢測(cè)到針對(duì)日本外交組織的v0.3.6版本。之后不久，卡巴斯基也檢測(cè)到v0.3.8。卡巴斯基的調(diào)查揭示了攻擊者在橫向移動(dòng)階段的操作方式：在獲得所需數(shù)據(jù)之后，攻擊者將刪除其攻擊痕跡。卡巴斯基的報(bào)告包括了對(duì)惡意程序LODEINFO的技術(shù)分析，以及受害者網(wǎng)絡(luò)中的攻擊序列，以揭示攻擊者的策略和方法。

在跟蹤“ Transparent Tribe”的活動(dòng)時(shí)，卡巴斯基發(fā)現(xiàn)了這個(gè)APT攻擊者使用的一個(gè)有趣的工具：用于管理CrimsonRAT木馬的服務(wù)器組件?？ò退够业搅诉@個(gè)程序的不同版本，這讓卡巴斯基能夠從攻擊者的角度來(lái)看這個(gè)惡意程序。它顯示了該工具的主要目的是竊取文件，給出了它用于探索遠(yuǎn)程文件系統(tǒng)和使用特定過(guò)濾器收集文件的功能。

Transparent Tribe(又名PROJECTM和MYTHIC LEOPARD)是一個(gè)非常多產(chǎn)的APT團(tuán)體，最近幾個(gè)月又增加了其活動(dòng)的范圍。最近卡巴斯基又發(fā)現(xiàn)了一個(gè)與“CrimsonRAT木馬相關(guān)的活動(dòng)https://securelist.com/transparent-tribe-part-1/98127/，卡巴斯基迅速分析了服務(wù)器組件，并首次看到了USBWorm組件的使用。另外卡巴斯基還發(fā)現(xiàn)了一種用于針對(duì)印度軍事人員的木馬程序。這一發(fā)現(xiàn)也證實(shí)了在以前的調(diào)查中已經(jīng)發(fā)現(xiàn)的許多信息，同時(shí)也證實(shí)了CrimsonRAT https://securelist.com/transparent-tribe-part-2/98233/仍在積極開(kāi)發(fā)中。

今年4月，卡巴斯基根據(jù)構(gòu)建路徑和內(nèi)部文件名發(fā)現(xiàn)了一種名為CRAT的新型惡意程序，該惡意程序使用武器化的韓文文檔以及特洛伊木馬程序和戰(zhàn)略性網(wǎng)絡(luò)攻擊進(jìn)行傳播。自發(fā)現(xiàn)以來(lái)，后門功能經(jīng)過(guò)多次迭代，功能齊全已經(jīng)非常齊全，并分為多個(gè)攻擊模塊課。有一個(gè)下載程序?qū)RAT傳播給受害人，然后是名為Orchestration Crat的下一階段的Orchestrator惡意程序：該Orchestrator加載了用于間諜活動(dòng)的各種插件，包括鍵盤記錄、屏幕捕獲和剪貼板竊取。

在卡巴斯基的調(diào)查中，卡巴斯基發(fā)現(xiàn)了與ScarCruft和Lazarus的一些弱連接：卡巴斯基發(fā)現(xiàn)該惡意程序中的幾條調(diào)試消息與ScarCruft惡意程序具有相似的模式，以及某些代碼模式和Lazarus C2基礎(chǔ)結(jié)構(gòu)的命名。

今年6月，卡巴斯基觀察到一組新的惡意Android下載程序，根據(jù)卡巴斯基的跟蹤分析，這些下載程序至少?gòu)?019年12月起就在野外被積極使用，并且攻擊目標(biāo)完全針對(duì)巴基斯坦。它的開(kāi)發(fā)者使用Kotlin編程語(yǔ)言和Firebase消息傳遞系統(tǒng)進(jìn)行下載，模仿了Chat Lite、Kashmir News Service和其他合法的地區(qū)性Android應(yīng)用程序。

國(guó)家電信和信息技術(shù)安全委員會(huì)(NTISB)于1月發(fā)布的一份報(bào)告描述了共享相同C2并欺騙相同合法應(yīng)用程序的惡意程序。該報(bào)告提到，攻擊者的目標(biāo)是巴基斯坦軍事機(jī)構(gòu)，攻擊者使用WhatsApp消息、短信、電子郵件和社交媒體作為初始感染媒介。卡巴斯基的研究也顯示，該惡意程序還通過(guò)Telegram Messenger傳播。通過(guò)對(duì)初始下載程序集的分析，卡巴斯基可以找到卡巴斯基認(rèn)為密切相關(guān)的另一組特洛伊木馬，因?yàn)樗鼈兪褂孟螺d程序中提到的程序包名稱并專注于相同的目標(biāo)，這些新樣本與以前歸因于Origami Elephant組織開(kāi)發(fā)的惡意軟件的代碼具有很高的相似性。

在7月中旬，卡巴斯基觀察到一個(gè)東南亞政府組織被一個(gè)未知的攻擊者盯上了，該攻擊者使用了一個(gè)包含多層惡意RAR可執(zhí)行程序包的惡意ZIP包。在其中一起事件中，壓縮包的主題是關(guān)于新冠疫情的。卡巴斯基相信，同一個(gè)組織可能也是政府網(wǎng)絡(luò)服務(wù)器漏洞的相同目標(biāo)，在7月初被攻破，并為高度相似的惡意LNK提供服務(wù)。就像卡巴斯基過(guò)去看到的針對(duì)特定國(guó)家的其他行動(dòng)一樣，這些攻擊者正在采取長(zhǎng)期的、多管齊下的方法來(lái)破壞目標(biāo)系統(tǒng)，而不使用零日攻擊。

值得注意的是，另一個(gè)小組(可能是OceanLotus)除了使用Cobalt Strike之外，還在一個(gè)月左右的時(shí)間內(nèi)以COVID-19主題的惡意LNK對(duì)類似的政府目標(biāo)使用了類似的Telegram傳播技術(shù)，并將其惡意程序植入了相同的政府目標(biāo)。

今年5月，卡巴斯基就阻止了一次針對(duì)一家韓國(guó)公司的惡意Internet Explorer腳本攻擊。分析顯示，該攻擊使用了以前不知道的全鏈攻擊，包括兩個(gè)零日攻擊：針對(duì)Internet Explorer的遠(yuǎn)程代碼執(zhí)行攻擊和針對(duì)Windows的權(quán)限提升攻擊。與卡巴斯基在WizardOpium活動(dòng)

https://securelist.com/windows-0-day-exploit-cve-2019-1458-used-in-operation-wizardopium/95432/中使用的先前完整鏈不同，新的完整鏈針對(duì)的是Windows 10的最新版本，而卡巴斯基的測(cè)試表明可以可靠地利用Internet Explorer 11和Windows 10的版本18363 x64。6月8日，卡巴斯基向微軟報(bào)告了卡巴斯基的發(fā)現(xiàn)，后者證實(shí)了這些漏洞。

在卡巴斯基提交報(bào)告的時(shí)候，微軟的安全團(tuán)隊(duì)已經(jīng)為CVE-2020-0986漏洞準(zhǔn)備好了補(bǔ)丁，該漏洞被用于零日升級(jí)權(quán)限利用;但是在卡巴斯基發(fā)現(xiàn)之前，人們認(rèn)為該漏洞的利用可能性較小， CVE-2020-0986的補(bǔ)丁于6月9日發(fā)布。微軟將JScript中的use-after-free漏洞分配為CVE-2020-1380，并于8月11日發(fā)布了針對(duì)該漏洞的補(bǔ)丁。卡巴斯基將這些相關(guān)攻擊行動(dòng)稱為PowerFall。目前，卡巴斯基還不能確定是哪個(gè)組織發(fā)起了這些攻擊，但由于與之前發(fā)現(xiàn)的漏洞相似，卡巴斯基相信DarkHotel可能是這次攻擊的幕后黑手。

7月22日，卡巴斯基在VirusTotal網(wǎng)站上發(fā)現(xiàn)了一個(gè)來(lái)自意大利的可疑檔案，該文件似乎是一個(gè)包含惡意腳本、訪問(wèn)日志、惡意文檔文件和幾個(gè)與安全解決方案檢測(cè)到的可疑文件相關(guān)的屏幕截圖的分類。在調(diào)查了這些惡意文檔文件后，卡巴斯基發(fā)現(xiàn)它們與6月份報(bào)道的拉撒路集團(tuán)(Lazarus group)活動(dòng)有關(guān)。

這場(chǎng)被稱為“DeathNote”的攻擊活動(dòng)，目標(biāo)是汽車工業(yè)和學(xué)術(shù)領(lǐng)域的個(gè)人，使用包含航空航天和國(guó)防相關(guān)職位描述的引誘文件。卡巴斯基確信，這些文件與最近報(bào)道的針對(duì)以色列國(guó)防制造商的攻擊有關(guān)。截至目前，卡巴斯基已經(jīng)發(fā)現(xiàn)了webshell腳本、C2服務(wù)器腳本和惡意文檔，并確定了與受感染的C2服務(wù)器連接的幾名受害者，并發(fā)現(xiàn)了用于訪問(wèn)C2服務(wù)器的方法。

今年3月，卡巴斯基就已經(jīng)觀察到APT組織SideWinder的攻擊活動(dòng)，且攻擊者使用了五種不同的惡意程序類型。目前研發(fā)者已經(jīng)連續(xù)對(duì)其最終有效載荷進(jìn)行了修改，并繼續(xù)利用新冠疫情等當(dāng)前熱門話題發(fā)起魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)活動(dòng)，其主要目標(biāo)是針對(duì)政府、外交和軍事機(jī)構(gòu)。而感染機(jī)制仍然與以前一樣,包括SideWinder利用選擇CVE-2017-1182和使用DotNetToJScript工具部署最后的有效載荷，但卡巴斯基發(fā)現(xiàn)該組織還使用了包含Microsoft編譯的HTML幫助的ZIP文件，該文件可以下載最后階段的有效載荷。除了現(xiàn)有的基于.NET的植入程序(卡巴斯基稱為SystemApp)之外，網(wǎng)絡(luò)攻擊者還向其武器庫(kù)中添加了JS Orchestrator，Rover / Scout后門以及AsyncRAT，warzoneRAT的修改版。

其他有趣的發(fā)現(xiàn)

很多情況下研究人員是無(wú)法調(diào)查到所發(fā)現(xiàn)APT組織幕后團(tuán)隊(duì)的，比如在調(diào)查一項(xiàng)正在進(jìn)行的活動(dòng)時(shí)，卡巴斯基發(fā)現(xiàn)了一種正在開(kāi)發(fā)的新型Android植入程序，與任何已知的Android惡意程序沒(méi)有明顯的聯(lián)系。該惡意程序能夠監(jiān)控和竊取通話記錄、短信、音頻、視頻和非媒體文件，以及識(shí)別感染設(shè)備的信息。它還實(shí)現(xiàn)了一個(gè)有趣的功能，即收集使用“traceroute”命令和使用本地ARP緩存獲得的網(wǎng)絡(luò)路由和拓?fù)湫畔ⅰ?/p>

在此調(diào)查過(guò)程中，卡巴斯基發(fā)現(xiàn)了一堆類似的Android信息竊取器植入程序，其中一個(gè)示例被混淆處理了。另外卡巴斯基還發(fā)現(xiàn)了更像后門的更老的Android惡意程序，其蹤跡可以追溯到2019年8月。

早在今年4月，Cisco Talos就發(fā)現(xiàn)了一名身份不明的黑客使用名為“PoetRAT”的新型惡意程序，該攻擊專門針對(duì)阿塞拜疆政府和能源部門。在與卡巴斯基ICS CERT的合作中，卡巴斯基確定了相關(guān)惡意程序和文件的補(bǔ)充樣本，這些惡意程序和文件的目標(biāo)是阿塞拜疆的多所大學(xué)、政府、工業(yè)組織以及能源部門機(jī)構(gòu)。該攻擊于2019年11月初開(kāi)始，不過(guò)在思科Talos報(bào)告發(fā)布后，攻擊者立即關(guān)閉了該攻擊的基礎(chǔ)設(shè)施。從那以后，就再也沒(méi)有發(fā)現(xiàn)新的相關(guān)文件或PoetRAT樣本。

卡巴斯基觀察到該惡意程序與Turla的代碼有一些重疊，但由于沒(méi)有技術(shù)上可靠的證據(jù)證明他們之間的關(guān)系，而且卡巴斯基也不能把這種新的活動(dòng)歸因于任何其他已知的攻擊者，所卡巴斯基把它命名為Obsidian Gargoyle。Turla被認(rèn)為是歷史上最復(fù)雜的APT(高級(jí)持續(xù)性威脅)間諜軟件。目標(biāo)為政府機(jī)構(gòu)、大使館、軍事組織、研究和教育組織以及制藥企業(yè)。Turla組織的攻擊活動(dòng)包括了許多影響一時(shí)的大事件，比如2008年攻擊美國(guó)中央司令部，也就是Buckshot Yankee事件——指的是黑客用一個(gè)名叫agent.btz的惡意軟件通過(guò)某U盤被上傳至五角大樓的軍事網(wǎng)絡(luò)系統(tǒng)之中。另外一個(gè)事件就是2016年對(duì)瑞士軍工企業(yè)RUAG集團(tuán)發(fā)動(dòng)攻擊，黑客采用了網(wǎng)絡(luò)間諜軟件Turla，木馬程序以及Rootkit惡意軟件相結(jié)合。

此外Turla組織還針對(duì)烏克蘭，歐盟相關(guān)機(jī)構(gòu)，歐盟各國(guó)政府，各個(gè)國(guó)家的大使館，媒體、研究和教育組織以及制藥、軍工企業(yè)，其利用衛(wèi)星通信固有的安全缺陷隱藏C&C服務(wù)器位置和控制中心。Turla組織也被稱為Snake 、 Uroburos 、 Venomous Bear或是KRYPTON，是至今為止最為高級(jí)的威脅組織之一。

總結(jié)

不管APT組織使用的釣魚(yú)技術(shù)如何變化，攻擊者在一段時(shí)間內(nèi)使用的釣魚(yú)話題都是一樣的，比如疫情期間他們使用新冠疫情這樣的熱門話題吸引用戶下載并執(zhí)行惡意魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)郵件的附件。而在技術(shù)開(kāi)發(fā)上APT組織則不斷進(jìn)行技術(shù)迭代，開(kāi)發(fā)新工具集和擴(kuò)大他們的活動(dòng)的范圍，比如開(kāi)發(fā)新平臺(tái)吸收更多參與者進(jìn)來(lái)。雖然一些APT組織開(kāi)發(fā)了非常復(fù)雜的工具，例如MosiacRegressor UEFI植入程序，但其他網(wǎng)絡(luò)攻擊者在使用基本TTP方面也取得了巨大成功。根據(jù)卡巴斯基的說(shuō)法，UEFI是固件接口，是BIOS的替代品，可提高安全性，確保沒(méi)有惡意軟件篡改引導(dǎo)過(guò)程。因?yàn)閁EFI有助于加載操作系統(tǒng)本身，所以這種感染可以抵抗OS重新安裝或更換硬盤驅(qū)動(dòng)器。根據(jù)卡巴斯基的說(shuō)法，這些惡意UEFI固件映像被修改為包含幾個(gè)惡意模塊，然后這些模塊被用來(lái)在受害者計(jì)算機(jī)上投放惡意軟件，這些模塊針對(duì)來(lái)自非洲、亞洲和歐洲的外交官和非政府組織成員發(fā)動(dòng)了一系列有針對(duì)性的網(wǎng)絡(luò)攻擊。

以下是卡巴斯基在2020年第三季度看到的主要APT攻擊趨勢(shì)：

• 地緣政治繼續(xù)推動(dòng)著許多APT運(yùn)動(dòng)的發(fā)展，正如卡巴斯基在最近幾個(gè)月看到的Transparent Tribe, Sidewinder, Origami Elephant 和 MosaicRegressor,的活動(dòng)。
• 金融部門一直是攻擊的重點(diǎn)目標(biāo)，DeathStalker的活動(dòng)就是一個(gè)最近的例子。
• 卡巴斯基將繼續(xù)通過(guò)最近的示例(包括Transparent Tribe 和 Origami Elephant.)觀察在APT攻擊中使用移動(dòng)植入程序的情況。
• 盡管APT網(wǎng)絡(luò)攻擊行動(dòng)者在全球范圍內(nèi)活躍，但最近的活動(dòng)熱點(diǎn)是東南亞、中東和華語(yǔ)地區(qū)。
• 本季度包括WellMess和Sidewinder在內(nèi)的APT組織都是以新冠話題為幌子發(fā)起攻擊的。
• 本季度最有趣的APT組織是DeathStalker和MosaicRegressor：前者強(qiáng)調(diào)了APT小組無(wú)需開(kāi)發(fā)高度復(fù)雜的工具即可實(shí)現(xiàn)目標(biāo)的事實(shí)，后者代表了惡意程序開(kāi)發(fā)的前沿技術(shù)。