?[[418858]]?

更有有針對性的攻擊

與Cycldek有關(guān)的攻擊

卡巴斯基實(shí)驗(yàn)室的研究人員4月份發(fā)現(xiàn)了一個(gè)名為“FoundCore”的文件，該惡意軟件樣本是在針對位于越南的知名組織的攻擊中發(fā)現(xiàn)的，經(jīng)過分析，它的攻擊功能相較于“DLL側(cè)加載三步法”有了很大的改進(jìn)，所謂的“DLL側(cè)加載三步法”就是合法的可執(zhí)行文件、由它側(cè)加載的惡意 DLL 和編碼的有效載荷，通常在自解壓文件中自行執(zhí)行刪除程序。

??

在這個(gè)示例中，shellcode被嚴(yán)重混淆了。研究人員發(fā)現(xiàn)這個(gè)文件的加載程序非常有趣，所以研究人員決定將研究人員的目標(biāo)惡意軟件逆向工程課程的一個(gè)軌道基于它。

最終的有效載荷是一個(gè)遠(yuǎn)程管理工具，它可以讓操作員實(shí)現(xiàn)對受害計(jì)算機(jī)的完全控制。與服務(wù)器的通信可以通過使用 RC4 加密的原始 TCP 套接字或通過 HTTPS 進(jìn)行。

在研究人員發(fā)現(xiàn)的絕大多數(shù)攻擊示例中，F(xiàn)oundCore 執(zhí)行之前都會(huì)打開從 static.phongay[.]com 下載的惡意 RTF 文件，所有這些文件都是使用 RoyalRoad 生成的，并試圖利用 CVE-2018-0802。所有這些文件都是空白的，這表明存在著前置文件(可能是通過魚叉式網(wǎng)絡(luò)釣魚或以前的感染方式傳播的)，它們觸發(fā)了RTF文件的下載。成功的漏洞利用導(dǎo)致攻擊者進(jìn)一步部署名為DropPhone和CoreLoader的惡意軟件。

??

研究人員的追蹤分析數(shù)據(jù)顯示，，已有數(shù)十個(gè)組織受到影響，這些組織屬于政府或軍事部門，或其他與衛(wèi)生、外交、教育或政治垂直領(lǐng)域有關(guān)的組織。80%的目標(biāo)在越南，其余地分布在中亞和泰國。

在野外使用的Windows的桌面管理器漏洞

在分析CVE-2021-1732漏洞時(shí)，研究人員發(fā)現(xiàn)了另一個(gè)零日漏洞。該漏洞首先由DBAPPSecurity Threat Intelligence Center發(fā)現(xiàn)，并被BITTER APT組織使用。研究人員在2月份向微軟報(bào)告了這個(gè)新的漏洞，在確認(rèn)它確實(shí)是一個(gè)零日漏洞后，微軟發(fā)布了一個(gè)針對新的零日漏洞的補(bǔ)丁(CVE-2021-28310)，作為其4月份安全更新的一部分。

CVE-2021-28310是桌面窗口管理器(dwm.exe)中的dwmcore.dll中的一個(gè)越界 (OOB) 寫入漏洞。由于缺乏邊界檢查，攻擊者能夠創(chuàng)建一種情況，允許他們使用DirectComposition API以受控偏移量寫入受控?cái)?shù)據(jù)。DirectComposition是一個(gè)Windows組件，在Windows 8中引入，以支持轉(zhuǎn)換、效果和動(dòng)畫的位圖合成，并支持不同來源(GDI、DirectX 等)的位圖。

該漏洞最初是由卡巴斯基的漏洞預(yù)防技術(shù)和相關(guān)檢測記錄識別的，在過去幾年中，卡巴斯基在其產(chǎn)品中構(gòu)建了多種漏洞利用保護(hù)技術(shù)，這些技術(shù)已檢測到多個(gè)零日漏洞，并一次又一次地證明了它們的有效性。

研究人員認(rèn)為這個(gè)漏洞可能已經(jīng)被一些潛在的攻擊者廣泛使用，并且它可能與其他瀏覽器漏洞一起使用，以逃離沙箱或獲得系統(tǒng)權(quán)限以進(jìn)行進(jìn)一步訪問。

TunnelSnake活動(dòng)

Windows rootkit，特別是那些在內(nèi)核空間操作的rootkit，在系統(tǒng)中享有很高的權(quán)限，允許它們攔截和默默篡改底層操作系統(tǒng)進(jìn)行的核心I/O操作，比如讀取或?qū)懭胛募?，或處理傳出網(wǎng)絡(luò)數(shù)據(jù)包。它們能夠融入操作系統(tǒng)本身的結(jié)構(gòu)，這就是rootkit如何獲得隱身和逃避的原因。然而，隨著時(shí)間的推移，在Windows中部署和執(zhí)行rootkit組件變得越來越困難。微軟引入的驅(qū)動(dòng)程序簽名執(zhí)行和內(nèi)核補(bǔ)丁保護(hù)(PatchGuard)使得篡改系統(tǒng)變得更加困難。因此，市面上的Windows rootkit數(shù)量急劇下降，大多數(shù)仍然活躍的rootkit經(jīng)常被用于APT攻擊。

而名為TunnelSnake的活動(dòng)，rootkit在攻擊中就很少被使用到。攻擊者的目標(biāo)主要是是東南亞和非洲的外交組織，針對這些目標(biāo)可以在外部訪問到的主機(jī)進(jìn)行攻擊，成功部署了Moriya rootkit，由于微軟引入了驅(qū)動(dòng)強(qiáng)制簽名以及補(bǔ)丁檢測機(jī)制。Moriya是一個(gè)被動(dòng)后門，被部署到外部可以訪問到的服務(wù)器上，通過安裝WFP過濾驅(qū)動(dòng)檢查所有傳入受感染機(jī)器的流量，取出帶有特征字符串的流量包進(jìn)行響應(yīng)，因此它不包含硬編碼的C2地址，這使得對攻擊者的溯源難以進(jìn)行。同時(shí)，Moriya在內(nèi)核層網(wǎng)絡(luò)堆棧處理數(shù)據(jù)包之前截獲它們，也使得安全檢測難以發(fā)現(xiàn)它們。Moriya被用來在面向公眾的服務(wù)器上部署被動(dòng)后門，建一個(gè)隱蔽的C2(命令和控制)通信通道，默默地控制著惡意軟件的行為。

??

該rootkit早在2019年11月就被研究人員發(fā)現(xiàn)，經(jīng)過追蹤分析，TunnelSnake至少從2018年以來就一直處于活躍狀態(tài)。

由于在活動(dòng)期間附帶的 Rootkit 和其他橫向移動(dòng)工具都不依賴于硬編碼的 C2 服務(wù)器，因此研究人員只能部分了解攻擊者的基礎(chǔ)設(shè)施。然而，除了 Moriya 之外，大部分檢測到的工具都包含專有和眾所周知的惡意軟件，這些惡意軟件以前被講中文的攻擊者使用過，這為攻擊者的來源提供了線索。

PuzzleMaker

4月14日至15日，研究人員檢測到一波針對多家公司的針對性很強(qiáng)的攻擊。更詳細(xì)的分析顯示，所有這些攻擊利用了谷歌Chrome和微軟Windows零日漏洞鏈。

雖然研究人員無法在Chrome web瀏覽器中檢索用于遠(yuǎn)程代碼執(zhí)行(RCE)的漏洞，但研究人員能夠找到并分析用于逃離沙箱并獲得系統(tǒng)權(quán)限的升級權(quán)限(EoP)漏洞。此EoP漏洞經(jīng)過微調(diào)，可針對Windows 10的最新版本(17763 - RS5, 18362 - 19H1, 18363 - 19H2, 19041 - 20H1, 19042 - 20H2)，并利用Microsoft Windows OS內(nèi)核中的兩個(gè)不同的漏洞。

4月20日，研究人員向微軟報(bào)告了這些漏洞，他們將CVE-2021-31955定性為信息泄漏漏洞，將 CVE-2021-31956 分配給 EoP 漏洞。漏洞利用鏈試圖通過滴管在系統(tǒng)中安裝惡意軟件，惡意軟件以系統(tǒng)服務(wù)的形式啟動(dòng)并加載有效載荷，這是一個(gè)“遠(yuǎn)程shell”式的后門，它依次連接到 C2 以獲取命令。

研究人員無法找到任何與已知攻擊組織的聯(lián)系或重疊，所以研究人員暫時(shí)將此活動(dòng)命名為PuzzleMaker。

Andariel 在其工具集中添加了勒索軟件

今年4月，研究人員發(fā)現(xiàn)了一個(gè)可疑的Word文件，其中包含一個(gè)韓國文件名和上傳到VirusTotal的釣魚網(wǎng)站。該文件包含一個(gè)陌生的宏，并使用新技術(shù)植入下一個(gè)有效載荷。研究人員的分析顯示，這些攻擊中使用了兩種感染方法，且每個(gè)有效載荷都有自己的加載器在內(nèi)存中執(zhí)行。攻擊者只向特定的受害者提供最后階段的有效載荷。

??

Malwarebytes發(fā)表了一份報(bào)告，其中包含了同一系列攻擊的技術(shù)細(xì)節(jié)，起初研究人員將其歸咎于Lazarus 組織。然而，經(jīng)過深入分析，研究人員得出的結(jié)論是，攻擊是Andariel組織(Lazarus的下屬組織)發(fā)起的。

從歷史上看，Andariel 主要針對韓國的組織，這次活動(dòng)中也是如此。研究人員確認(rèn)了制造、家庭網(wǎng)絡(luò)服務(wù)、媒體和建筑行業(yè)的幾名受害者。

研究人員還發(fā)現(xiàn)了與Andariel組織的其他聯(lián)系，每個(gè)攻擊者都有一個(gè)獨(dú)特的習(xí)慣，當(dāng)他們在攻擊的后利用階段與后門shell 交互工作時(shí)。Windows命令及其選項(xiàng)在這次活動(dòng)中使用的方式幾乎與之前的Andariel活動(dòng)相同。

值得注意的是，除了最后一個(gè)后門外，研究人員還發(fā)現(xiàn)一名受害者感染了自定義勒索軟件。

Ferocious Kitten

“Ferocious Kitten”是一個(gè)APT攻擊者，目標(biāo)似乎在伊朗說波斯語的人，該組織發(fā)起的攻擊最近才被發(fā)現(xiàn)。最近，由于推特上的研究人員將一份誘餌文件上傳到VirusTotal上并公開，該攻擊才受到了關(guān)注。

研究人員能夠擴(kuò)展關(guān)于該組織的一些發(fā)現(xiàn)，并提供關(guān)于它使用的其他變體的分析。被稱為“MarkiRAT”的惡意軟件從誘餌文件中被釋放，記錄擊鍵、剪貼板內(nèi)容，并提供文件下載和上傳功能，以及在受害者的電腦上執(zhí)行任意命令的功能。“Ferocious Kitten”至少從2015年就開始活躍了，旨在劫持Telegram和Chrome應(yīng)用程序。

其他惡意軟件

JSWorm勒索軟件的迭代

研究人員最近發(fā)布了一個(gè)名為JSWorm的勒索軟件家族的分析報(bào)告，該惡意軟件于2019年被發(fā)現(xiàn)，從那時(shí)起，Nemty、nefilm、Offwhite等變體相繼出現(xiàn)。

??

每個(gè)“重新命名”的版本都包含了對代碼不同方面的修改，文件擴(kuò)展名、加密方案、加密密鑰、編程語言和發(fā)布模型。自出現(xiàn)以來，JSWorm 已經(jīng)從一個(gè)典型的大規(guī)模勒索軟件威脅發(fā)展為主要影響個(gè)人用戶的軟件，已取得利益最大化。

Black Kingdom勒索軟件

Black Kingdom于2019年首次被發(fā)現(xiàn)，2020年，該組織被發(fā)現(xiàn)在攻擊中利用如CVE-2019-11510等漏洞。在最近的活動(dòng)中，在最近的活動(dòng)中，未知攻擊者利用該勒索軟件來利用 Microsoft Exchange 漏洞 (CVE-2021-27065，又名 ProxyLogon)。這個(gè)勒索軟件家族遠(yuǎn)沒有其他的勒索軟件即服務(wù)(RaaS)復(fù)雜。該惡意軟件是用Python編寫的，并使用PyInstaller編譯為可執(zhí)行文件。該勒索軟件支持兩種加密模式，一種是動(dòng)態(tài)生成的，另一種使用硬編碼密鑰。代碼分析顯示了在硬編碼密鑰的幫助下恢復(fù)被Black Kingdom加密的文件的可能性。在進(jìn)行分析時(shí)，已經(jīng)有一個(gè)腳本可以恢復(fù)用嵌入密鑰加密的文件。

Black Kingdom 將桌面背景更改為提示系統(tǒng)在加密文件時(shí)被感染，同時(shí)禁用鼠標(biāo)和鍵盤。

在對Python代碼進(jìn)行反編譯后，研究人員發(fā)現(xiàn)Black Kingdom的代碼庫起源于GitHub上的一個(gè)開源勒索軟件構(gòu)建器。該組織修改了部分代碼，添加了最初未在構(gòu)建器中提供的功能，例如硬編碼的密鑰。研究人員無法將 Black Kingdom 歸因于任何已知的威脅組織。

Gootkit：謹(jǐn)慎的銀行木馬

Gootkit是一種復(fù)雜的多階段式銀行惡意軟件，最初是由Doctor Web在2014年發(fā)現(xiàn)的。最初，它是通過垃圾郵件和Spelevo和RIG等工具包傳播的。在與垃圾郵件活動(dòng)相結(jié)合的情況下，這些攻擊者后來轉(zhuǎn)向了那些訪問者被誘騙下載惡意軟件的受感染網(wǎng)站。

Gootkit 能夠從瀏覽器中竊取數(shù)據(jù)、執(zhí)行瀏覽器中間人攻擊、鍵盤記錄、截屏以及許多其他惡意操作。木馬的加載程序執(zhí)行各種虛擬機(jī)和沙箱檢查，并使用復(fù)雜的持久性算法。

2019 年，Gootkit 在經(jīng)歷數(shù)據(jù)泄露后停止運(yùn)營，但自 2020 年 11 月以來又活躍起來，大多數(shù)受害者位于德國和意大利等歐盟國家。

Bizarro銀行木馬擴(kuò)展到歐洲

Bizarro 是另一個(gè)起源于巴西的銀行木馬家族，現(xiàn)在在世界其他地方也有發(fā)現(xiàn)。研究人員已經(jīng)看到有人在西班牙、葡萄牙、法國和意大利被攻擊。該惡意軟件已被用于竊取來自不同國家的 70 家銀行客戶的憑據(jù)。

Bizarro 是通過受害者從垃圾郵件中的鏈接下載的 MSI 包傳播的。啟動(dòng)后，它會(huì)從受感染的網(wǎng)站下載 ZIP 壓縮文件。研究人員觀察到被黑客攻擊的WordPress, Amazon和Azure服務(wù)器被木馬用來存儲檔案。該后門是Bizarro的核心組件，包含100多條命令，攻擊者可以借此竊取網(wǎng)上銀行賬戶憑證。大多數(shù)命令用于顯示虛假的彈出消息，并試圖欺騙人們輸入雙因素身份驗(yàn)證碼。該木馬還可能使用社交工程來說服受害者下載智能手機(jī)應(yīng)用程序。

??

APKPure 應(yīng)用中的惡意代碼

4 月初，研究人員在 APKPure 應(yīng)用商店官方客戶端的 3.17.18 版本中發(fā)現(xiàn)了惡意代碼，這是一個(gè)流行的 Android 應(yīng)用替代來源。該情況似乎與 CamScanner 發(fā)生的情況類似，當(dāng)時(shí)該應(yīng)用程序的開發(fā)人員從未經(jīng)驗(yàn)證的來源實(shí)施了廣告軟件 SDK。

啟動(dòng)時(shí)， HEUR:Trojan-Dropper.AndroidOS.Triada.ap 的嵌入式木馬釋放程序會(huì)解壓縮并運(yùn)行其有效載荷，該有效載荷能夠在鎖定屏幕上顯示廣告、打開瀏覽器選項(xiàng)卡、收集有關(guān)設(shè)備，并下載其他惡意代碼。下載的木馬取決于 Android 版本以及最近安裝的安全更新。對于相對較新版本的操作系統(tǒng)(Android 8 或更高版本)，它會(huì)為 Triada 木馬加載其他模塊。如果設(shè)備較舊(Android 6 或 7，且未安裝安全更新)，則可能是 xHelper 木馬。

針對 Apple M1 芯片的惡意軟件

去年 11 月，蘋果推出了 M1 芯片。這款新芯片已在其多個(gè)產(chǎn)品中取代了英特爾處理器，它基于 ARM 架構(gòu)，而不是傳統(tǒng)上用于個(gè)人計(jì)算機(jī)的 x86 架構(gòu)。這為 Apple 完全切換到自己的處理器并在單一架構(gòu)下統(tǒng)一其軟件奠定了基礎(chǔ)。不幸的是，在發(fā)布后的幾個(gè)月，惡意軟件的開發(fā)者就發(fā)布了針對新的處理器的惡意軟件。

嘗試使用 PHP 進(jìn)行供應(yīng)鏈攻擊

今年3月，未知的攻擊者試圖通過在PHP腳本語言中引入惡意代碼來實(shí)施供應(yīng)鏈攻擊。PHP開發(fā)人員使用構(gòu)建在GIT版本控制系統(tǒng)上的公共存儲庫對代碼進(jìn)行更改。攻擊者試圖給代碼添加一個(gè)后門。

本文翻譯自：https://securelist.com/it-threat-evolution-q2-2021/103597/