2020年度安全人員跟蹤900多個高級威脅活動，可在季度報告中找到詳細信息。本文將集中討論過去12個月中APT攻擊的特點。

[[361498]]

Windows之外

Windows仍然是APT的主要關注點，但今年也觀察到了許多非Windows的共計活動。例如，Lazarus的MATA惡意軟件框架。4月發(fā)現(xiàn)MATA擴展到Windows和Linux以外的系統(tǒng)，包括macOS。Lazarus利用宏嵌入的Office文檔并根據(jù)受害者的系統(tǒng)傳播PowerShell或macOS惡意軟件。

安全人員發(fā)布了Penquin家族分析報告，并在5月發(fā)表有關Penquin_x64的技術分析。Penquin_x64是Turla的Penquin GNU/Linux后門變體，分析指出Turla可能會利用Penquin進行除傳統(tǒng)情報以外的其他操作。

在2020年第三季度APT趨勢報告中描述了TunnelSnake攻擊活動。攻擊者利用了開源工具Earthworm和Termite，生成遠程shell并在主機之間建立隧道通信。這些工具能夠在IoT設備等多種體系結構上運行，表明攻擊者已經(jīng)將此類設備作為新的目標。

UEFI固件感染

在針對某次攻擊的調查中發(fā)現(xiàn)了一個UEFI固件映像，固件模塊是基于Vector EDK的bootkit，植入的惡意軟件是下載器。通過分析提取惡意軟件特征，發(fā)現(xiàn)了一系列類似的樣本，這些樣本自2017年以來一直被用于外交組織，它們的業(yè)務邏輯大部分是相同的，但一些附加功能或在實現(xiàn)上有所不同。

手機惡意攻擊

今年發(fā)現(xiàn)許多針對移動平臺的APT組織。今年1月，發(fā)現(xiàn)了一個利用了完整遠程iOS攻擊鏈的水坑。該網(wǎng)站針對香港用戶設計。目前使用的都是已知漏洞，攻擊者正在改進漏洞利用工具，以針對更多的iOS版本和設備。它還支持Android、Windows、Linux和macOS等平臺。

今年8月，研究人員發(fā)表了關于透明部落的第二份分析報告。其中包括該組織用來攻擊滲透安卓設備的惡意軟件。惡意程序偽裝成印度政府開發(fā)的Aarogya Setu COVID-19跟蹤應用程序，主要針對印度的軍事人員，通過WhatsApp、短信、電子郵件或社交媒體發(fā)送惡意鏈接進行傳播。

今年6月，觀察到一組新的惡意安卓下載程序，這些下載器從2019年12月起就已經(jīng)出現(xiàn)在網(wǎng)絡中，主要針對巴基斯坦。美國NTISB在1月份的一份報告中分析了惡意軟件共享相同的C2s，目標是巴基斯坦軍方機構，攻擊者利用WhatsApp信息、短信、電子郵件和社交媒體作為最初的傳播媒介。

官方點名

5月，英國國家網(wǎng)絡安全中心(NCSC)和美國國土安全部(DHS)發(fā)布聯(lián)合警告，兩國都在調查針對制藥公司，醫(yī)學研究組織和制藥公司的網(wǎng)絡攻擊事件。

7月30日，歐洲理事會對六名個人和三個實體實施制裁，這些個人和實體參與了多個網(wǎng)絡攻擊活動，制裁包括禁令旅行和資產凍結，禁止歐盟個人和實體向所列人員提供資金。

9月，美國司法部發(fā)布了三份黑客起訴書，這些黑客與APT41和其他網(wǎng)絡攻擊活動有關，包括Barium, Winnti, Wicked Panda，Wicked Spider。美國司法部與馬來西亞政府合作之后，兩名馬來西亞國民于9月14日被捕，罪名是“非法計算機入侵”。根據(jù)起訴書中的信息可將這些入侵行為與ShadowPad和ShadowHammer聯(lián)系起來。

10月，美國司法部起訴六名俄羅斯軍官進行了多次網(wǎng)絡攻擊，其中包括NotPetya，2018年奧林匹克驅逐艦襲擊事件以及Novichok中毒事件。英國NCSC還指控俄羅斯的GRU軍事情報部門對東京奧運會的官員進行攻擊。

“剛剛好”就夠了

APT攻擊并不總是需要復雜技術，DeathStalker說明了這一點。DeathStalker目標主要集中在律師事務所和金融行業(yè)，它收集敏感的商業(yè)信息，提供黑客服務，或在金融界充當信息經(jīng)紀人。

本季度，發(fā)現(xiàn)了該組織基于LNK的入侵線索。該組織一直在開發(fā)其工具包，采用自2018年以來相同的策略，同時加大了逃避檢測的力度。

2020年6月底發(fā)現(xiàn)DeathStalker的有趣變化。例如，惡意軟件使用嵌入的IP地址或域名直接連接到C2服務器，它使用至少兩個DDR或web服務來獲取真實的C2 IP地址或域。攻擊者并不僅僅局限于發(fā)送魚叉式網(wǎng)絡釣魚郵件，而是通過多封電子郵件積極與受害者接觸，說服他們打開誘餌。此外，攻擊者在入侵中使用基于Python的惡意工具，這是第一次發(fā)現(xiàn)攻擊者放棄PE二進制文件作為中間階段來加載evillum。還發(fā)現(xiàn)了該組織自2020年第二季度以來使用的復雜度較低的惡意軟件，它依賴于HTTPS上的DNS(DoH)作為C2通道。2020年10月，發(fā)現(xiàn)并分析了該組織的PowerPepper工具集的新樣本，包括改進的沙盒檢測技術。

COVID-19

在COVID-19大流行之后，許多國家采取封鎖措施，攻擊者不斷地利用人們對這種疾病的恐懼發(fā)起網(wǎng)絡攻擊活動。大多數(shù)與COVID-19相關的網(wǎng)絡釣魚都是網(wǎng)絡犯罪分子為賺錢發(fā)起的。但是，據(jù)OSINT(開源情報)稱，攻擊者名單中包括拉扎魯斯(Lazarus)、響尾蛇(Sidewinder)、透明部落(Transparent Tribe)、第21組(GroupA21)等。研究人員還發(fā)現(xiàn)Kimsuky、APT27、IronHusky和ViciousPanda也在使用COVID-19為主題的誘餌來攻擊受害者。

在WellMess報告之后，英國國家網(wǎng)絡安全中心(NCSC)與加拿大和美國政府發(fā)布了一份關于WellMess最新活動報告。這三個國家政府把針對COVID-19疫苗研究的惡意軟件歸咎于Dukes(又稱APT29和Cozy Bear)。

原文鏈接：securelist