信息來源：FreeBuf

近日卡巴斯基實驗室對外發(fā)布第二季度APT趨勢報告，總結(jié)近幾個月那些著名的APT組織都干了些什么，這些著名APT組織包括Lazarus、Scarcruft、DarkHotel、LuckyMouse、Sofacy等。不過，本季度最受矚目的APT攻擊事件當(dāng)屬FBI曝光的VPNFilter，主要針對全球大量的網(wǎng)絡(luò)硬件和存儲解決方案，據(jù)稱與APT組織Sofacy和Sandworm（Black Energy）有關(guān)。

重大的新發(fā)現(xiàn)

2018年Q2季度的APT活動非常有趣，網(wǎng)絡(luò)硬件已成為APT組織理想的攻擊目標(biāo)，并且已經(jīng)開始看到針對這些設(shè)備的第一批高級攻擊事件。但就知名黑客組織而言，亞洲地區(qū)的攻擊者是迄今為止最為活躍的。

作為較大規(guī)模網(wǎng)絡(luò)間諜活動的一部分，Lazarus/BlueNoroff組織疑似與針對土耳其金融機構(gòu)和拉丁美洲在線賭場的攻擊事件有關(guān)。并且進(jìn)一步觀察到了Lazarus組織針對亞洲金融機構(gòu)的攻擊活動，該組織在過去幾年里曾發(fā)起過多次攻擊事件，在某些情況下還會重復(fù)利用大量代碼，這就使得我們可以將一些新發(fā)現(xiàn)的攻擊活動與Lazarus進(jìn)行關(guān)聯(lián)。Manuscrypt惡意軟件就是其中一個很好的例子，Lazarus組織在近期發(fā)起的多次攻擊事件中均使用了該工具，US-CERT（美國計算機應(yīng)急響應(yīng)小組）在6月份也針對Manuscrypt的新版本發(fā)布了安全預(yù)警，并將其命名為TYPEFRAME。

US-CERT針對Lazarus使用的Manuscrypt/TYPEFRAME惡意軟件發(fā)布預(yù)警

眼下朝鮮正在積極參加和平談判，盡管暫不清楚Lazarus組織在這一新的地理政治格局中將扮演何種角色，但其攻擊行為（通過BlueNoroff或Andariel小組實施）受經(jīng)濟(jì)利益驅(qū)使這一點是不變的。

當(dāng)然，Scarcruft組織（又稱Group123、Reaper）相對激烈的攻擊活動可能更為有趣。早在今年一月份，Scarcruft組織就被監(jiān)測到利用0day漏洞CVE-2018-4878攻擊韓國，表明該組織的攻擊能力正在提升。過去幾個月里，也有捕獲到該組織濫用Android惡意軟件以及傳播新型后門程序“POORWEB”的惡意行為，奇虎360發(fā)現(xiàn)的0day漏洞CVE-2018-8174最初也曾懷疑Scarcruft就是幕后黑手，不過后來證實與另一個APT組織DarkHotel有關(guān)。

有關(guān)APT組織Scarcruft和DarkHotel的淵源，可追溯至2016年監(jiān)測到的兩起攻擊事件：“Operation Daybreak”和“Operation Erebus”，兩次攻擊都利用了同一個被黑掉的網(wǎng)站來傳播exp，其中就包含一個0day漏洞：

黑客組織DarkHotel發(fā)起的“OperationDaybreak”活動，主要通過魚叉式釣魚郵件和Flash Player零日漏洞攻擊中國受害者；與此同時，Scarcruft組織發(fā)起的“Operation Erebus”行動則主要針對韓國。

對DarkHotel的CVE-2018-8174漏洞利用分析顯示，無論受害者電腦上默認(rèn)的瀏覽器是什么，攻擊者都可通過Word文檔中的URLMoniker來調(diào)用IE，這是前所未有的新技術(shù)，相信在未來不同的攻擊事件中還會用到。詳細(xì)分析可參閱此前的博文“TheKing is Dead. Long Live the King!”。

此外我們還監(jiān)測到一些相對安靜的黑客組織發(fā)起的攻擊事件，LuckyMouse（又名APT27、Emissary Panda）就是一個很好的例子，該組織濫用亞洲的ISPs（互聯(lián)網(wǎng)服務(wù)供應(yīng)商）來針對高端網(wǎng)站進(jìn)行水坑攻擊。6月份我們曾報道過該組織針對國家數(shù)據(jù)中心的攻擊事件，隨后在中國舉行峰會期間，LuckyMouse又針對亞洲政府組織發(fā)起了新一輪攻擊活動。

不過，本季度最受矚目的安全事件當(dāng)屬FBI曝光的VPNFilter攻擊活動，主要針對國內(nèi)大量的網(wǎng)絡(luò)硬件和存儲解決方案，據(jù)信與APT組織Sofacy和Sandworm（BlackEnergy）有關(guān)。為入侵更多與受感染網(wǎng)絡(luò)設(shè)備關(guān)聯(lián)的電腦，VPNFilter甚至能將惡意軟件注入到流量中，為此研究人員還提供了此款惡意軟件EXIF（Exchangeable image file format：可交換圖像文件格式）到C2機制的分析報告。

網(wǎng)絡(luò)硬件究竟是如何成為復(fù)雜攻擊者的優(yōu)選目標(biāo)的？VPNFilter系列攻擊活動就是最好的佐證之一。Cisco Talos研究人員所提供的數(shù)據(jù)表明，該活動的影響范圍是真正意義上的全球性的，從分析結(jié)果來看，幾乎每個國家都可以找到與之相關(guān)的蛛絲馬跡。

知名黑客組織的攻擊活動

近幾年來，一些較為活躍的黑客組織似乎減少了攻擊頻率，但這并不意味著其威脅程度也在隨之減弱。例如，據(jù)公開報道，黑客組織Sofacy開始啟用新的、免費可用的模塊作為某些受害者的最后攻擊階段。而研究人員之所以注意到這點，則是源于該組織軍火庫的另一項創(chuàng)新，即新增了用Go編程語言編寫的全新下載器（downloaders），用以傳播Zebrocy惡意軟件。

對于假設(shè)并未進(jìn)行惡意活動的黑客組織，這兒可能有個值得注意的例外。自去年1月份針對平昌冬奧會的“Olympic Destroyer”攻擊活動后，研究人員在歐洲監(jiān)測到了疑似由同一組織（內(nèi)部稱其為“Hades”）發(fā)起的攻擊活動。此次活動的攻擊目標(biāo)是俄羅斯的金融組織，以及歐洲和烏克蘭的生物化學(xué)威脅防御實驗室。

更有趣的是，“Olympic Destroyer”系列攻擊行動的TTPs（戰(zhàn)術(shù)、技術(shù)及作戰(zhàn)程序）和OPSEC（Open Platform for Security：網(wǎng)絡(luò)安全的開放式平臺）均與Sofacy組織存在相似性。不過前者擅于欺騙，所以這也可能只是“Olympic Destroyer”的障眼法，但目前把Hades組織和Sofacy關(guān)聯(lián)起來仍具有“低至中等”的可信度。

研究人員監(jiān)測到的最有趣的攻擊行為之一，是一個來自Turla（對關(guān)聯(lián)程度有中等信心）的植入物“LightNeuron”。該惡意程序目標(biāo)直指Exchange Servers，并使用合法的標(biāo)準(zhǔn)調(diào)用指令來攔截電郵、竊取數(shù)據(jù)、甚至以受害者的名義發(fā)送郵件。研究人員認(rèn)為幕后黑客自2014年以來就一直在使用該技術(shù)，其中還有一個版本會影響運行Postfix和Sendmail的Unix服務(wù)器，目前已知的受害者主要分布在中東和中亞地區(qū)。

新秀與老將

那些蟄伏數(shù)月甚至數(shù)年的老牌黑客們，時不時地就會傳播新型惡意軟件。雖然此種行徑有難免有刷存在感的嫌疑，但至少表明他們?nèi)栽诨钴S。

WhiteWhale就是一個好例子，該黑客自2016年以來就出奇地安靜，直到去年4月研究人員才監(jiān)測到與之相關(guān)的新動態(tài)：傳播Taidoor和Yalink這兩個惡意軟件家族，日本實體成為其不二目標(biāo)。

伴隨朝鮮和談以及隨后與美國總統(tǒng)在新加坡的會面這一系列緊湊的外交活動，Kimsuky決定在新一輪的攻擊活動中利用該話題來傳播惡意軟件，其軍火庫在2017年末和2018年初進(jìn)行了大規(guī)模的更新，并掀起了一波新的魚叉式釣魚郵件活動。

研究人員還發(fā)現(xiàn)了一種新的、不是很復(fù)雜的攻擊行為“Perfanly”，但尚不清楚其幕后黑手，該活動至少從2017年以來就一直針對馬來西亞和印度尼西亞的政府實體，攻擊過程中有自定義的多階段droppers，也有諸如Metasploit此類的可供免費使用的黑客工具。

六七月份的時候，研究人員監(jiān)測到了針對科威特多個機構(gòu)的一系列攻擊活動，主要通過利用啟用宏的Office文檔作為攻擊媒介，并使用DNS來傳遞VBS和Powershell腳本的組合體以執(zhí)行命令和控制。此前，研究人員也曾從Oilrig和Stonedrill等組織處監(jiān)測到類似的攻擊活動，因此盡管目前將二者關(guān)聯(lián)起來的可信度為“低”，卻不能否認(rèn)其存在。

總結(jié)

一些簡單的自定義工具的組合，主要是用于躲避檢測，在后期階段中使用業(yè)已公開的工具似乎也是某些攻擊活動的趨勢所在，比如與“Chinese-speaking umbrella”相關(guān)的攻擊行為，以及那些無門檻接觸APT網(wǎng)絡(luò)間諜活動的小白們。

許多攻擊者的間歇性活動只是單純刷存在感而已，他們可能需要通過小憩來進(jìn)行內(nèi)部調(diào)整，或者是在全球范圍內(nèi)進(jìn)行不易被察覺的小型攻擊活動。LuckyMouse也許是其中最有趣的案例之一，新的攻擊活動總是和亞洲的地理政治議程密不可分。雖然無法探知LuckyMouse與該地區(qū)的其他黑客組織是否存在協(xié)同合作的情況，但也不排除這個可能性。

在過去10個月里，講中文的攻擊者針對蒙古國實體發(fā)起的高級攻擊也頗為有趣，疑似與亞洲國家就朝鮮關(guān)系在蒙古國之舉行的一些峰會有關(guān)，以及這些國家在當(dāng)?shù)貙缪莸男陆巧?

NCSC和US CERT也發(fā)布了一些關(guān)于Energetic Bear/Crouching Yeti攻擊活動的預(yù)警。盡管暫未掌握該攻擊者的活躍度情況（因為預(yù)警信息基本上都是針對已發(fā)生的事件），但也應(yīng)該重視其對某些行業(yè)潛在威脅影響。

總之，非常有必要強調(diào)一下網(wǎng)絡(luò)硬件對高級攻擊者的重要性。近幾個月來已發(fā)生太多的案例，對于那些仍未意識到這一點的人而言，VPNFilter事件無疑就是一記警鐘。