六年多來，卡巴斯基的全球研究和分析團(tuán)隊(duì)（GReAT）一直在發(fā)布針對(duì)高級(jí)持續(xù)性威脅（APT）活動(dòng)的季度摘要。這些總結(jié)是基于其以往的威脅情報(bào)研究撰寫的，旨在突出公眾應(yīng)該了解的重大事件和發(fā)現(xiàn)。

重點(diǎn)發(fā)現(xiàn)

6月初，卡巴斯基研究人員發(fā)現(xiàn)了一種針對(duì)iOS設(shè)備的惡意軟件活動(dòng)，稱之為“Operation Triangulation”，能夠在沒有任何用戶交互的情況下，觸發(fā)系統(tǒng)內(nèi)漏洞，從而執(zhí)行任意惡意代碼。

事件之初，卡巴斯基在監(jiān)控公司專用于移動(dòng)設(shè)備的Wi-Fi網(wǎng)絡(luò)流量時(shí)，注意到多個(gè)iOS手機(jī)存在可疑活動(dòng)。由于無法從內(nèi)部檢查最新iOS設(shè)備，卡巴斯基通過創(chuàng)建相關(guān)設(shè)備的離線備份，使用移動(dòng)驗(yàn)證工具包的mvt-ios對(duì)其進(jìn)行檢查，最終發(fā)現(xiàn)了入侵痕跡。

研究發(fā)現(xiàn)，該惡意軟件活動(dòng)會(huì)通過iMessage服務(wù)向目標(biāo)iOS設(shè)備發(fā)送帶有漏洞利用程序的附件，能夠在沒有任何用戶交互的情況下，觸發(fā)導(dǎo)致代碼執(zhí)行的漏洞。然后，該漏洞利用程序會(huì)從C&C服務(wù)器下載多個(gè)漏洞代碼，其中包括用于提權(quán)的額外利用程序。

最后，從C&C服務(wù)器下載最終有效負(fù)載：一個(gè)高度復(fù)雜的間諜軟件植入物，名為“TriangleDB”。該植入程序在內(nèi)存中運(yùn)行，定期與命令和控制（C2）基礎(chǔ)設(shè)施通信以接收命令。該植入程序允許攻擊者瀏覽和修改設(shè)備文件，獲取存儲(chǔ)在鑰匙鏈中的密碼和憑證，檢索地理位置信息，以及執(zhí)行額外的模塊，進(jìn)一步擴(kuò)展他們對(duì)受感染設(shè)備的控制。

俄語地區(qū)的活動(dòng)

俄烏沖突點(diǎn)燃了世界各地多個(gè)派系的攻擊活動(dòng)。網(wǎng)絡(luò)攻擊激增，各種黑客組織紛紛站隊(duì)。在民族主義理想和動(dòng)機(jī)的推動(dòng)下，Killnet迅速成為親俄情緒最為高漲的黑客組織之一。與“奇幻熊”和“沙蟲”等具有俄羅斯情報(bào)機(jī)構(gòu)背景的俄羅斯黑客組織不同，Killnet更像是一個(gè)“憤怒的、民族主義的在線暴徒”，其以一種情緒化的方式運(yùn)作，且只具備低級(jí)的網(wǎng)絡(luò)攻擊工具和策略。

Killnet主要使用分布式拒絕服務(wù)（DDoS）攻擊作為破壞手段。在眾多盟友和不斷增長(zhǎng)的粉絲基礎(chǔ)的支持下，它已經(jīng)成功地瞄準(zhǔn)了北約附屬的多個(gè)實(shí)體，包括拉脫維亞、立陶宛、挪威、意大利和愛沙尼亞等。它最近的攻擊已經(jīng)擴(kuò)展到美國(guó)的醫(yī)療機(jī)構(gòu)，同時(shí)還泄露了來自不同實(shí)體的文件，試圖在對(duì)手中造成心理和組織上的影響。

研究人員稱，Killnet的成功之處不在于其技術(shù)先進(jìn)性或滲透和破壞網(wǎng)絡(luò)的能力，而是對(duì)攻擊成果的宣揚(yáng)，包括通過公告視頻和水印圖像等形式開展媒體公關(guān)。

西班牙語地區(qū)的活動(dòng)

自2015年開始，KelvinSecurity組織便始終處于活躍狀態(tài)。KelvinSecurity通常以Kristina的名義運(yùn)作，該組織通常利用fuzzing技術(shù)和常見的漏洞來鎖定受害者，對(duì)工具的使用駕輕就熟并且對(duì)漏洞有非常深入的研究。通常該組織瞄準(zhǔn)的對(duì)象都是有共同的基礎(chǔ)技術(shù)或基礎(chǔ)設(shè)施。他們?cè)诰W(wǎng)絡(luò)犯罪論壇和通信渠道（如Telegram）上公開分享新的漏洞、目標(biāo)和數(shù)據(jù)庫(kù)等信息，還經(jīng)常分享其工具清單和有效載荷。

除此之外，研究人員還發(fā)現(xiàn)了針對(duì)哥倫比亞政府實(shí)體的“BlindEagle”間諜活動(dòng)，該活動(dòng)至少?gòu)慕衲?月便開始活躍。據(jù)分析，BlindEagle以南美的機(jī)構(gòu)和公司為目標(biāo)，主要從事網(wǎng)絡(luò)間諜活動(dòng)，同時(shí)也從事金融信息盜竊。

在最近的一份報(bào)告中，研究人員發(fā)現(xiàn)該威脅組織利用了Quasar RAT的修改版本，將其重新用作銀行木馬，專門針對(duì)哥倫比亞金融實(shí)體的客戶。然而，在最新的活動(dòng)中，BlindEagle已將其重點(diǎn)轉(zhuǎn)移到另一種被稱為“njRAT”的開源RAT，其主要目標(biāo)是對(duì)其受害者進(jìn)行間諜活動(dòng)。

中東地區(qū)的活動(dòng)

研究人員最近從一個(gè)針對(duì)伊朗政府實(shí)體的活動(dòng)中獲得了JackalControl C2通信，該活動(dòng)一直持續(xù)到2023年4月初。其背后組織GoldenJackal是2020年發(fā)現(xiàn)的一個(gè)APT組織，主要針對(duì)中東和南亞的知名實(shí)體。

多年來，卡巴斯基實(shí)驗(yàn)室的研究人員一直在監(jiān)測(cè)該組織，并觀察到這是一個(gè)極其專業(yè)的組織。該組織的主要開發(fā).NET惡意軟件、JackalControl、JackalWorm、JackalSteal等特定工具集，目的是控制受害者計(jì)算機(jī)；在使用可移動(dòng)驅(qū)動(dòng)器的系統(tǒng)中傳播；從受感染的系統(tǒng)中竊取某些文件；竊取憑據(jù)；收集有關(guān)本地系統(tǒng)和用戶網(wǎng)絡(luò)活動(dòng)的信息等。根據(jù)工具集和攻擊者的行為，研究人員認(rèn)為GoldenJackal APT組織的主要?jiǎng)訖C(jī)是間諜活動(dòng)。

此次，研究人員還發(fā)現(xiàn)了兩個(gè)新的惡意軟件樣本——“JackalPerInfo”和“JackalScreenWatcher”——并將其與GoldenJackal組織聯(lián)系起來，懷疑它們自2020年以來便一直是其工具集的一部分。這些工具主要用于攻擊的后利用階段，從受感染的主機(jī)收集屏幕截圖和各種文件。

4月26日，一個(gè)第三方公開描述了BellaCiao（一個(gè)惡意腳本dropper），并將其與Charming Kitten（又名APT35）聯(lián)系在一起。之后，卡巴斯基研究人員檢索了幾個(gè)BellaCiao樣本，包括未記錄的變體，并提供了額外的IoC，以及相關(guān)惡意活動(dòng)和工具的上下文信息，結(jié)果發(fā)現(xiàn)攻擊者可能利用面向互聯(lián)網(wǎng)的服務(wù)器上的漏洞來部署B(yǎng)ellaCiao。這些行動(dòng)至少可以追溯到2022年5月，而對(duì)惡意基礎(chǔ)設(shè)施的分析結(jié)果表明，潛在行動(dòng)可能從2021年就已開始。

雖然攻擊者主要利用Plink在惡意基礎(chǔ)設(shè)施和目標(biāo)服務(wù)器之間建立隧道，但它也利用了用Rust編寫的開源工具“bore”。此外，研究人員還發(fā)現(xiàn)了WatchMaster，這可能是一個(gè)相關(guān)的工具，它試圖動(dòng)態(tài)刪除asp.net文件（除了IIS服務(wù)器上的一些web shell）。根據(jù)遙測(cè)數(shù)據(jù)顯示，至少?gòu)?022年11月開始，BellaCiao就被用來攻擊阿富汗、奧地利、以色列和土耳其的目標(biāo)。此外，一些樣本的內(nèi)容表明，植入程序還可能被用來攻擊意大利的組織。攻擊者使用BellaCiao到達(dá)RDP服務(wù)器，并從受攻擊的組織獲取憑據(jù)。

在之前關(guān)于OilRig APT的報(bào)告中，研究人員分析了2022年8月針對(duì)約旦一家IT公司的針對(duì)性攻擊，并認(rèn)為這可能是針對(duì)政府機(jī)構(gòu)的供應(yīng)鏈攻擊。那次入侵在2022年9月消失了，并在2022年11月左右又使用更新的工具重新出現(xiàn)，隨后再次消失。最近，研究人員發(fā)現(xiàn)了一組新的樣本，與之前針對(duì)約旦公司的入侵相似，同時(shí)還有類似的TTP。然而，不同之處在于此次入侵發(fā)生在阿聯(lián)酋的一家IT公司。

東南亞和朝鮮半島

2022年9月初，卡巴斯基研究團(tuán)隊(duì)檢測(cè)到了幾個(gè)來自MATA集群的惡意軟件，目標(biāo)是東歐的國(guó)防承包商。該活動(dòng)一直持續(xù)到2023年3月。在進(jìn)一步擴(kuò)大研究范圍后，研究人員發(fā)現(xiàn)了具有完整感染鏈的其他新的活躍活動(dòng)，包括設(shè)計(jì)用于通過U盤在氣隙（air-gapped）網(wǎng)絡(luò)中運(yùn)行的植入物，以及Linux MATA后門。

更新的MATA惡意軟件使用魚叉式網(wǎng)絡(luò)釣魚技術(shù)進(jìn)行分發(fā)，同時(shí)攻擊者使用驗(yàn)證程序在多個(gè)階段部署惡意軟件。威脅行為者還濫用了受害者使用的各種安全和反惡意軟件解決方案。新的MATA編排器對(duì)其加密、配置和通信協(xié)議進(jìn)行了多項(xiàng)修改，看起來像是從頭開始重寫的。下一代MATA包括規(guī)避網(wǎng)絡(luò)限制的新功能，允許攻擊者在受害者網(wǎng)絡(luò)中構(gòu)建復(fù)雜的代理鏈，并創(chuàng)建用于C2通信的各種通信協(xié)議的“堆棧”。

研究人員還發(fā)現(xiàn)了一個(gè)新的變種，MATAv5。這個(gè)復(fù)雜的惡意軟件，完全是從頭開始重寫的，展示了一個(gè)先進(jìn)而復(fù)雜的架構(gòu)，利用可加載和嵌入式模塊和插件。MATAv5能夠在不同的進(jìn)程中同時(shí)作為服務(wù)和DLL運(yùn)行。該惡意軟件利用內(nèi)部進(jìn)程間通信（IPC）通道，并使用各種命令，使其能夠跨各種協(xié)議建立代理鏈，包括在受害者的環(huán)境中。

雖然MATAv5經(jīng)歷了實(shí)質(zhì)性的發(fā)展，并且與先前版本共享的代碼極少，但在協(xié)議、命令和插件結(jié)構(gòu)方面仍然存在相似之處。這些相似之處表明，在不同迭代的惡意軟件中，實(shí)現(xiàn)功能的方法是一致的。

研究人員還一直在追蹤一個(gè)未知的惡意軟件集群，被稱為“ScoutEngine”。最初，研究人員并未發(fā)現(xiàn)其與已知惡意軟件或威脅參與者存在相似之處。然而，在仔細(xì)檢查整個(gè)惡意軟件后，結(jié)果發(fā)現(xiàn)該惡意軟件自2020年以來便一直處于持續(xù)開發(fā)狀態(tài)。ScoutenEngine存在多個(gè)版本（從2.1到2.3），且每個(gè)版本都有不同的感染方案，隨著版本的發(fā)展，惡意軟件開發(fā)者已經(jīng)更新了檢索下一階段有效載荷和配置數(shù)據(jù)、解密密鑰和C2通信格式的方法。

ScouEngine的目標(biāo)是根據(jù)攻擊者的命令獲取額外的有效負(fù)載，并在內(nèi)存中執(zhí)行它們。不幸的是，研究人員目前無法確定最終的有效載荷。不過，一個(gè)肯定的結(jié)論是：ScouEngine集群歸屬于Lazarus group。它的組件和配置與Lazarus惡意軟件非常相似，特別是，ScoutenEngine采用了一種不同尋常的方法（以前曾在CookieTime惡意軟件中觀察到）來生成注冊(cè)表路徑并獲取配置數(shù)據(jù)。

3月29日，CrowdStrike發(fā)布了一個(gè)關(guān)于供應(yīng)鏈攻擊的警報(bào)，該攻擊影響了流行的3CXDesktopApp VoIP軟件。在其報(bào)告中，他們暫時(shí)將正在進(jìn)行的攻擊歸因于Lazarus group。在調(diào)查與3CX攻擊相關(guān)的活動(dòng)時(shí)，卡巴斯基研究人員發(fā)現(xiàn)了另一個(gè)針對(duì)Trading Technologies開發(fā)的X_TRADING軟件的供應(yīng)鏈攻擊的證據(jù)。這種攻擊自2021年底以來便一直存在，與3CX活動(dòng)有相似之處。

此外，研究人員發(fā)現(xiàn)3CX攻擊的幕后主使（也認(rèn)為是Lazarus），正在使用被命名為“Gopuram”的后門來攻擊3CX入侵的選定受害者。卡巴斯基對(duì)Gopuram的分析可以追溯到2020年，同時(shí)期發(fā)現(xiàn)的還有已知與Lazarus有關(guān)的AppleJeus惡意軟件。

此外，研究人員最近還發(fā)現(xiàn)了一個(gè)“BlueNoroff”活動(dòng)，該活動(dòng)利用木馬化的PDF閱讀器實(shí)現(xiàn)了新的惡意軟件交付方法，主要針對(duì)Windows和macOS系統(tǒng)。該惡意軟件被設(shè)計(jì)為只在受害者打開惡意PDF文件時(shí)執(zhí)行，一旦打開，PDF閱讀器就會(huì)從PDF文件中檢索誘餌PDF文檔的偏移量和C2 URL。

研究表明，這次攻擊中使用的誘餌文件與風(fēng)險(xiǎn)投資和政府機(jī)構(gòu)的調(diào)查報(bào)告有關(guān)。一旦惡意軟件成功檢索到這些信息，它就會(huì)將受害者的數(shù)據(jù)發(fā)送到遠(yuǎn)程服務(wù)器，并啟動(dòng)執(zhí)行來自攻擊者服務(wù)器的額外有效負(fù)載。這是BlueNoroff組織第一次實(shí)施macOS惡意軟件。此外，該組織在攻擊的初始階段使用了編譯的AppleScript，而木馬化的PDF閱讀器所獲取的惡意軟件是使用Rust編程語言創(chuàng)建的。這是BlueNoroff組織第一次使用Rust作為惡意軟件。由于目標(biāo)環(huán)境的多樣性，BlueNoroff小組使用了額外的編程語言和方法來有效地交付其惡意軟件。

過去幾年，亞太地區(qū)一直是各種威脅行為者進(jìn)行網(wǎng)絡(luò)攻擊的熱點(diǎn)地區(qū)。在活躍于該地區(qū)的眾多APT組織中，有一些將重點(diǎn)放在了巴基斯坦受害者身上，其中一個(gè)被命名為“Mysterious Elephant”。分析發(fā)現(xiàn)，Mysterious Elephant使用的一些工具與該地區(qū)其他威脅行為者以前使用的舊工具有相似之處，例如，早期版本的Rover后門是由SideWinder和Confucius使用。

不過，在最新活動(dòng)中，該組織開始使用新的后門家族，并通過RTF文檔利用CVE-2017-11882漏洞進(jìn)行傳播。此文檔通過另一個(gè)作為遠(yuǎn)程模板的魚叉式網(wǎng)絡(luò)釣魚文檔下載。后門模塊使用遠(yuǎn)程過程調(diào)用（RPC）與其C2服務(wù)器建立通信，并能夠在受害者的機(jī)器上執(zhí)行文件或命令，以及從C2服務(wù)器接收文件或命令，以便在受感染的計(jì)算機(jī)上執(zhí)行。

隨著微軟禁用宏嵌入Office文檔，威脅行為者開始采用新的惡意軟件傳播方法，其中包括ScarCruft組織，他們迅速改變了最初的感染策略。該組織經(jīng)營(yíng)著兩個(gè)名為“Chinotto”和“RokRat”的集群。雖然他們以往嚴(yán)重依賴宏嵌入的Word文檔，但他們不斷采用其他文件格式，例如編譯的HTML（. chm）和Windows快捷方式（. lnk）文件。此外，為了規(guī)避網(wǎng)絡(luò)標(biāo)記（MOTW）攻擊，這些文件以歸檔文件格式（如.rar和.zip）或光盤映像（. iso）文件格式交付。盡管對(duì)初始感染載體進(jìn)行了持續(xù)測(cè)試，但這些行為者堅(jiān)持使用相同的最終有效載荷。Chinotto集群仍然使用Chinotto PowerShell腳本作為最終有效載荷，它負(fù)責(zé)在受害者的計(jì)算機(jī)上執(zhí)行Windows命令。

同樣，RokRat惡意軟件通過復(fù)雜的感染程序傳遞給受害者。這表明威脅行為者在初始感染載體上投入了大量精力，同時(shí)仍然依賴于相同的最終有效載荷。

原文鏈接：https://securelist.com/apt-trends-report-q2-2023/110231/