?[[418858]]?

更有有針對性的攻擊

與Cycldek有關(guān)的攻擊

卡巴斯基實驗室的研究人員4月份發(fā)現(xiàn)了一個名為“FoundCore”的文件，該惡意軟件樣本是在針對位于越南的知名組織的攻擊中發(fā)現(xiàn)的，經(jīng)過分析，它的攻擊功能相較于“DLL側(cè)加載三步法”有了很大的改進，所謂的“DLL側(cè)加載三步法”就是合法的可執(zhí)行文件、由它側(cè)加載的惡意 DLL 和編碼的有效載荷，通常在自解壓文件中自行執(zhí)行刪除程序。

??

在這個示例中，shellcode被嚴(yán)重混淆了。研究人員發(fā)現(xiàn)這個文件的加載程序非常有趣，所以研究人員決定將研究人員的目標(biāo)惡意軟件逆向工程課程的一個軌道基于它。

最終的有效載荷是一個遠程管理工具，它可以讓操作員實現(xiàn)對受害計算機的完全控制。與服務(wù)器的通信可以通過使用 RC4 加密的原始 TCP 套接字或通過 HTTPS 進行。

在研究人員發(fā)現(xiàn)的絕大多數(shù)攻擊示例中，F(xiàn)oundCore 執(zhí)行之前都會打開從 static.phongay[.]com 下載的惡意 RTF 文件，所有這些文件都是使用 RoyalRoad 生成的，并試圖利用 CVE-2018-0802。所有這些文件都是空白的，這表明存在著前置文件(可能是通過魚叉式網(wǎng)絡(luò)釣魚或以前的感染方式傳播的)，它們觸發(fā)了RTF文件的下載。成功的漏洞利用導(dǎo)致攻擊者進一步部署名為DropPhone和CoreLoader的惡意軟件。

??

研究人員的追蹤分析數(shù)據(jù)顯示，，已有數(shù)十個組織受到影響，這些組織屬于政府或軍事部門，或其他與衛(wèi)生、外交、教育或政治垂直領(lǐng)域有關(guān)的組織。80%的目標(biāo)在越南，其余地分布在中亞和泰國。

在野外使用的Windows的桌面管理器漏洞

在分析CVE-2021-1732漏洞時，研究人員發(fā)現(xiàn)了另一個零日漏洞。該漏洞首先由DBAPPSecurity Threat Intelligence Center發(fā)現(xiàn)，并被BITTER APT組織使用。研究人員在2月份向微軟報告了這個新的漏洞，在確認(rèn)它確實是一個零日漏洞后，微軟發(fā)布了一個針對新的零日漏洞的補丁(CVE-2021-28310)，作為其4月份安全更新的一部分。

CVE-2021-28310是桌面窗口管理器(dwm.exe)中的dwmcore.dll中的一個越界 (OOB) 寫入漏洞。由于缺乏邊界檢查，攻擊者能夠創(chuàng)建一種情況，允許他們使用DirectComposition API以受控偏移量寫入受控數(shù)據(jù)。DirectComposition是一個Windows組件，在Windows 8中引入，以支持轉(zhuǎn)換、效果和動畫的位圖合成，并支持不同來源(GDI、DirectX 等)的位圖。

該漏洞最初是由卡巴斯基的漏洞預(yù)防技術(shù)和相關(guān)檢測記錄識別的，在過去幾年中，卡巴斯基在其產(chǎn)品中構(gòu)建了多種漏洞利用保護技術(shù)，這些技術(shù)已檢測到多個零日漏洞，并一次又一次地證明了它們的有效性。

研究人員認(rèn)為這個漏洞可能已經(jīng)被一些潛在的攻擊者廣泛使用，并且它可能與其他瀏覽器漏洞一起使用，以逃離沙箱或獲得系統(tǒng)權(quán)限以進行進一步訪問。

TunnelSnake活動

Windows rootkit，特別是那些在內(nèi)核空間操作的rootkit，在系統(tǒng)中享有很高的權(quán)限，允許它們攔截和默默篡改底層操作系統(tǒng)進行的核心I/O操作，比如讀取或?qū)懭胛募?，或處理傳出網(wǎng)絡(luò)數(shù)據(jù)包。它們能夠融入操作系統(tǒng)本身的結(jié)構(gòu)，這就是rootkit如何獲得隱身和逃避的原因。然而，隨著時間的推移，在Windows中部署和執(zhí)行rootkit組件變得越來越困難。微軟引入的驅(qū)動程序簽名執(zhí)行和內(nèi)核補丁保護(PatchGuard)使得篡改系統(tǒng)變得更加困難。因此，市面上的Windows rootkit數(shù)量急劇下降，大多數(shù)仍然活躍的rootkit經(jīng)常被用于APT攻擊。

而名為TunnelSnake的活動，rootkit在攻擊中就很少被使用到。攻擊者的目標(biāo)主要是是東南亞和非洲的外交組織，針對這些目標(biāo)可以在外部訪問到的主機進行攻擊，成功部署了Moriya rootkit，由于微軟引入了驅(qū)動強制簽名以及補丁檢測機制。Moriya是一個被動后門，被部署到外部可以訪問到的服務(wù)器上，通過安裝WFP過濾驅(qū)動檢查所有傳入受感染機器的流量，取出帶有特征字符串的流量包進行響應(yīng)，因此它不包含硬編碼的C2地址，這使得對攻擊者的溯源難以進行。同時，Moriya在內(nèi)核層網(wǎng)絡(luò)堆棧處理數(shù)據(jù)包之前截獲它們，也使得安全檢測難以發(fā)現(xiàn)它們。Moriya被用來在面向公眾的服務(wù)器上部署被動后門，建一個隱蔽的C2(命令和控制)通信通道，默默地控制著惡意軟件的行為。

??

該rootkit早在2019年11月就被研究人員發(fā)現(xiàn)，經(jīng)過追蹤分析，TunnelSnake至少從2018年以來就一直處于活躍狀態(tài)。

由于在活動期間附帶的 Rootkit 和其他橫向移動工具都不依賴于硬編碼的 C2 服務(wù)器，因此研究人員只能部分了解攻擊者的基礎(chǔ)設(shè)施。然而，除了 Moriya 之外，大部分檢測到的工具都包含專有和眾所周知的惡意軟件，這些惡意軟件以前被講中文的攻擊者使用過，這為攻擊者的來源提供了線索。

PuzzleMaker

4月14日至15日，研究人員檢測到一波針對多家公司的針對性很強的攻擊。更詳細(xì)的分析顯示，所有這些攻擊利用了谷歌Chrome和微軟Windows零日漏洞鏈。

雖然研究人員無法在Chrome web瀏覽器中檢索用于遠程代碼執(zhí)行(RCE)的漏洞，但研究人員能夠找到并分析用于逃離沙箱并獲得系統(tǒng)權(quán)限的升級權(quán)限(EoP)漏洞。此EoP漏洞經(jīng)過微調(diào)，可針對Windows 10的最新版本(17763 - RS5, 18362 - 19H1, 18363 - 19H2, 19041 - 20H1, 19042 - 20H2)，并利用Microsoft Windows OS內(nèi)核中的兩個不同的漏洞。

4月20日，研究人員向微軟報告了這些漏洞，他們將CVE-2021-31955定性為信息泄漏漏洞，將 CVE-2021-31956 分配給 EoP 漏洞。漏洞利用鏈試圖通過滴管在系統(tǒng)中安裝惡意軟件，惡意軟件以系統(tǒng)服務(wù)的形式啟動并加載有效載荷，這是一個“遠程shell”式的后門，它依次連接到 C2 以獲取命令。

研究人員無法找到任何與已知攻擊組織的聯(lián)系或重疊，所以研究人員暫時將此活動命名為PuzzleMaker。

Andariel 在其工具集中添加了勒索軟件

今年4月，研究人員發(fā)現(xiàn)了一個可疑的Word文件，其中包含一個韓國文件名和上傳到VirusTotal的釣魚網(wǎng)站。該文件包含一個陌生的宏，并使用新技術(shù)植入下一個有效載荷。研究人員的分析顯示，這些攻擊中使用了兩種感染方法，且每個有效載荷都有自己的加載器在內(nèi)存中執(zhí)行。攻擊者只向特定的受害者提供最后階段的有效載荷。

??

Malwarebytes發(fā)表了一份報告，其中包含了同一系列攻擊的技術(shù)細(xì)節(jié)，起初研究人員將其歸咎于Lazarus 組織。然而，經(jīng)過深入分析，研究人員得出的結(jié)論是，攻擊是Andariel組織(Lazarus的下屬組織)發(fā)起的。

從歷史上看，Andariel 主要針對韓國的組織，這次活動中也是如此。研究人員確認(rèn)了制造、家庭網(wǎng)絡(luò)服務(wù)、媒體和建筑行業(yè)的幾名受害者。

研究人員還發(fā)現(xiàn)了與Andariel組織的其他聯(lián)系，每個攻擊者都有一個獨特的習(xí)慣，當(dāng)他們在攻擊的后利用階段與后門shell 交互工作時。Windows命令及其選項在這次活動中使用的方式幾乎與之前的Andariel活動相同。

值得注意的是，除了最后一個后門外，研究人員還發(fā)現(xiàn)一名受害者感染了自定義勒索軟件。

Ferocious Kitten

“Ferocious Kitten”是一個APT攻擊者，目標(biāo)似乎在伊朗說波斯語的人，該組織發(fā)起的攻擊最近才被發(fā)現(xiàn)。最近，由于推特上的研究人員將一份誘餌文件上傳到VirusTotal上并公開，該攻擊才受到了關(guān)注。

研究人員能夠擴展關(guān)于該組織的一些發(fā)現(xiàn)，并提供關(guān)于它使用的其他變體的分析。被稱為“MarkiRAT”的惡意軟件從誘餌文件中被釋放，記錄擊鍵、剪貼板內(nèi)容，并提供文件下載和上傳功能，以及在受害者的電腦上執(zhí)行任意命令的功能?！癋erocious Kitten”至少從2015年就開始活躍了，旨在劫持Telegram和Chrome應(yīng)用程序。

其他惡意軟件

JSWorm勒索軟件的迭代

研究人員最近發(fā)布了一個名為JSWorm的勒索軟件家族的分析報告，該惡意軟件于2019年被發(fā)現(xiàn)，從那時起，Nemty、nefilm、Offwhite等變體相繼出現(xiàn)。

??

每個“重新命名”的版本都包含了對代碼不同方面的修改，文件擴展名、加密方案、加密密鑰、編程語言和發(fā)布模型。自出現(xiàn)以來，JSWorm 已經(jīng)從一個典型的大規(guī)模勒索軟件威脅發(fā)展為主要影響個人用戶的軟件，已取得利益最大化。

Black Kingdom勒索軟件

Black Kingdom于2019年首次被發(fā)現(xiàn)，2020年，該組織被發(fā)現(xiàn)在攻擊中利用如CVE-2019-11510等漏洞。在最近的活動中，在最近的活動中，未知攻擊者利用該勒索軟件來利用 Microsoft Exchange 漏洞 (CVE-2021-27065，又名 ProxyLogon)。這個勒索軟件家族遠沒有其他的勒索軟件即服務(wù)(RaaS)復(fù)雜。該惡意軟件是用Python編寫的，并使用PyInstaller編譯為可執(zhí)行文件。該勒索軟件支持兩種加密模式，一種是動態(tài)生成的，另一種使用硬編碼密鑰。代碼分析顯示了在硬編碼密鑰的幫助下恢復(fù)被Black Kingdom加密的文件的可能性。在進行分析時，已經(jīng)有一個腳本可以恢復(fù)用嵌入密鑰加密的文件。

Black Kingdom 將桌面背景更改為提示系統(tǒng)在加密文件時被感染，同時禁用鼠標(biāo)和鍵盤。

在對Python代碼進行反編譯后，研究人員發(fā)現(xiàn)Black Kingdom的代碼庫起源于GitHub上的一個開源勒索軟件構(gòu)建器。該組織修改了部分代碼，添加了最初未在構(gòu)建器中提供的功能，例如硬編碼的密鑰。研究人員無法將 Black Kingdom 歸因于任何已知的威脅組織。

Gootkit：謹(jǐn)慎的銀行木馬

Gootkit是一種復(fù)雜的多階段式銀行惡意軟件，最初是由Doctor Web在2014年發(fā)現(xiàn)的。最初，它是通過垃圾郵件和Spelevo和RIG等工具包傳播的。在與垃圾郵件活動相結(jié)合的情況下，這些攻擊者后來轉(zhuǎn)向了那些訪問者被誘騙下載惡意軟件的受感染網(wǎng)站。

Gootkit 能夠從瀏覽器中竊取數(shù)據(jù)、執(zhí)行瀏覽器中間人攻擊、鍵盤記錄、截屏以及許多其他惡意操作。木馬的加載程序執(zhí)行各種虛擬機和沙箱檢查，并使用復(fù)雜的持久性算法。

2019 年，Gootkit 在經(jīng)歷數(shù)據(jù)泄露后停止運營，但自 2020 年 11 月以來又活躍起來，大多數(shù)受害者位于德國和意大利等歐盟國家。

Bizarro銀行木馬擴展到歐洲

Bizarro 是另一個起源于巴西的銀行木馬家族，現(xiàn)在在世界其他地方也有發(fā)現(xiàn)。研究人員已經(jīng)看到有人在西班牙、葡萄牙、法國和意大利被攻擊。該惡意軟件已被用于竊取來自不同國家的 70 家銀行客戶的憑據(jù)。

Bizarro 是通過受害者從垃圾郵件中的鏈接下載的 MSI 包傳播的。啟動后，它會從受感染的網(wǎng)站下載 ZIP 壓縮文件。研究人員觀察到被黑客攻擊的WordPress, Amazon和Azure服務(wù)器被木馬用來存儲檔案。該后門是Bizarro的核心組件，包含100多條命令，攻擊者可以借此竊取網(wǎng)上銀行賬戶憑證。大多數(shù)命令用于顯示虛假的彈出消息，并試圖欺騙人們輸入雙因素身份驗證碼。該木馬還可能使用社交工程來說服受害者下載智能手機應(yīng)用程序。

??

APKPure 應(yīng)用中的惡意代碼

4 月初，研究人員在 APKPure 應(yīng)用商店官方客戶端的 3.17.18 版本中發(fā)現(xiàn)了惡意代碼，這是一個流行的 Android 應(yīng)用替代來源。該情況似乎與 CamScanner 發(fā)生的情況類似，當(dāng)時該應(yīng)用程序的開發(fā)人員從未經(jīng)驗證的來源實施了廣告軟件 SDK。

啟動時， HEUR:Trojan-Dropper.AndroidOS.Triada.ap 的嵌入式木馬釋放程序會解壓縮并運行其有效載荷，該有效載荷能夠在鎖定屏幕上顯示廣告、打開瀏覽器選項卡、收集有關(guān)設(shè)備，并下載其他惡意代碼。下載的木馬取決于 Android 版本以及最近安裝的安全更新。對于相對較新版本的操作系統(tǒng)(Android 8 或更高版本)，它會為 Triada 木馬加載其他模塊。如果設(shè)備較舊(Android 6 或 7，且未安裝安全更新)，則可能是 xHelper 木馬。

針對 Apple M1 芯片的惡意軟件

去年 11 月，蘋果推出了 M1 芯片。這款新芯片已在其多個產(chǎn)品中取代了英特爾處理器，它基于 ARM 架構(gòu)，而不是傳統(tǒng)上用于個人計算機的 x86 架構(gòu)。這為 Apple 完全切換到自己的處理器并在單一架構(gòu)下統(tǒng)一其軟件奠定了基礎(chǔ)。不幸的是，在發(fā)布后的幾個月，惡意軟件的開發(fā)者就發(fā)布了針對新的處理器的惡意軟件。

嘗試使用 PHP 進行供應(yīng)鏈攻擊

今年3月，未知的攻擊者試圖通過在PHP腳本語言中引入惡意代碼來實施供應(yīng)鏈攻擊。PHP開發(fā)人員使用構(gòu)建在GIT版本控制系統(tǒng)上的公共存儲庫對代碼進行更改。攻擊者試圖給代碼添加一個后門。

本文翻譯自：https://securelist.com/it-threat-evolution-q2-2021/103597/