信息來源：FreeBuf

在這一年里，APT進行了哪些活動？我們可以從中學到什么？

這不是一個容易回答的問題，因為研究人員對APT攻擊活動只有部分的可見性，不可能完全理解某些攻擊的動機。不過從不同的角度來探討這個問題，可以更好的理解發(fā)生了什么，從中獲得更多的經驗。

供應鏈攻擊

近年來，針對供應鏈的攻擊已經被證明是非常成功的，例子包括ShadowPad、expertr和CCleaner的后門。

今年1月發(fā)現(xiàn)了一個復雜的供應鏈攻擊，涉及一個硬件供應商，攻擊者向供應商的筆記本電腦和臺式機提供BIOS、UEFI和軟件更新。攻擊者向供應商的程序添加了一個后門，通過官方渠道將其分發(fā)給用戶。攻擊者將目標MAC地址列表硬編碼到木馬中，從攻擊中發(fā)現(xiàn)超過200個樣本中提取超過600個唯一的MAC地址，具體分析報告：ShadowHammer

泄密事件

第三季度針對伊朗活動的APT泄密事件。

今年3月，有人通過Dookhtegan或Labúu Dookhtegan開始使用標簽apt34在Twitter上發(fā)布消息。他們分享了幾個文件，其中包括幾名黑客受害者的登錄名和密碼、工具、基礎設施的詳細信息、攻擊者的簡歷和一份2014-2018年期間網絡工具清單。

4月22日，名為Bl4ck_B0X創(chuàng)建了GreenLeakers頻道。該頻道的目的是發(fā)布有關MuddyWater APT組成員信息。除了免費信息，Bl4ck_B0X也將出售與MuddyWater有關的“高度機密”信息。4月27日，GreenLeakers Telegram頻道發(fā)布了三張截圖，其中包含來自MuddyWater C2服務器的截圖。5月1日，該頻道對公眾關閉，改為私人頻道，關閉的原因仍然不清楚。

最后，一個名為“隱藏現(xiàn)實”的網站公布了與伊朗拉納研究所有關的泄密信息。這是兩個月來第三次披露伊朗組織的細節(jié)。這次泄密與其他泄密不同，它允許任何人瀏覽泄密文件的網站。網站包含內部文檔、聊天信息和其他與拉納研究所的CNO（計算機網絡操作）能力相關的數(shù)據，以及有關受害者的信息。以前的泄漏更多地集中在工具、源代碼和參與者信息上。

Shadow Brokers

Shadow Brokers中包括一個Python腳本sigs.py，其中許多函數(shù)來檢查系統(tǒng)是否已經被其他攻擊者破壞。每個檢查都是在系統(tǒng)中查找唯一簽名實現(xiàn)的，sigs.py列出了44個條目，其中許多與尚未公開的未知apt相關。

2019年sigs.py文件的第27個函數(shù)，被命名為DarkUniverse，DarkUniverse與ItaDuke活動有關，存在代碼重疊。主要組件是一個簡單的DLL，只有一個導出函數(shù)，實現(xiàn)持久控制、與C2的通信以及對其他模塊的控制。在西亞和非洲東北部發(fā)現(xiàn)了大約20名受害者，包括醫(yī)療機構、原子能機構、軍事組織和電信公司。

手機攻擊

移動手機攻擊是許多APT工具集的標準部分。

今年5月，英國《金融時報》報道稱，黑客利用WhatsApp的零日漏洞竊聽用戶，讀取加密的聊天，打開麥克風和攝像頭，安裝間諜軟件，甚至可以進行進一步的監(jiān)控。WhatsApp觸發(fā)緩沖區(qū)溢出，使攻擊者能夠控制應用程序并執(zhí)行任意代碼，WhatsApp很快就發(fā)布了漏洞補丁。10月份，該公司提起訴訟，指控總部位于以色列的NSO挖掘利用了這一漏洞。WhatsApp聲稱，NSO出售的這項技術用于瞄準20個不同國家1400多名客戶的手機，其中包括人權活動家、記者和其他人。

今年7月，報告介紹了2018年開發(fā)的針對Android和iOS的FinSpy最新版本。FinSpy的開發(fā)者將該軟件出售給世界各地的政府和執(zhí)法機構，這些機構使用該軟件在各種平臺上收集私人用戶信息，如聯(lián)系人、信息、電子郵件、日歷、GPS位置、照片、內存中的文件、電話錄音和數(shù)據。Android植入需要通過已知漏洞獲得root權限，在設備尚未越獄的情況下，需要對受害者的設備進行物理訪問。最新版本包含了多個新功能。在最近的研究中，在近20個國家的中檢測到了最新版本，真正的受害者人數(shù)可能要高得多。

今年8月，谷歌Project Zero團隊發(fā)布了一份在野發(fā)現(xiàn)的至少14個iOS 零日分析報告，攻擊者在5個攻擊鏈中使用以提升權限。攻擊者自三年前使用了一些被控網站來作為攻擊平臺。雖然沒有關于網站的詳細信息，也沒有說明這些網站是否仍然活躍，但谷歌稱這些網站“每周有數(shù)千名訪客”。

今年9月，零日經紀公司Zerodium表示，Android的零日價值已超過iOS，該公司愿意花250萬美元購買Android的零日，該公司此前為遠程iOS越獄支付200萬美元。相比之下，Zerodium還減少了蘋果一鍵式攻擊的支出。同一天，有人在v412（Video4Linux）驅動程序中發(fā)現(xiàn)了一個高嚴重性的零日。谷歌9月份的安全更新中沒有包含此漏洞，該漏洞可能會導致權限提升。幾天后，安卓系統(tǒng)的一個缺陷被發(fā)現(xiàn)，使得超過10億的三星、華為、LG和索尼智能手機容易受到攻擊，攻擊者能夠使用短信完全訪問設備上的電子郵件。

工具持續(xù)改良

Turla

在調查中亞地區(qū)的惡意活動時發(fā)現(xiàn)了一個名為Tunnus新的后門，其歸屬于Turla組織。它基于.NET的惡意軟件，能夠在受感染的系統(tǒng)上運行命令或文件操作，并將結果發(fā)送到C2。到目前為止，攻擊者已用有漏洞的WordPress安裝構建了其C2基礎設施。

今年，Turla還將其JavaScript KopiLuwak惡意軟件封裝在一個名為Topinambour的dropper中，Topinambour是一個新的.NET文件，攻擊者使用該文件通過受感染的vpn等合法軟件程序的安裝包傳播和植入KopiLuwak。該惡意軟件幾乎完全“無文件”：感染的最后階段，一個用于遠程管理的加密木馬被嵌入到計算機的注冊表中，以便后期訪問。該組織使用兩種類似的KopiLuwak（即.NET RocketMan木馬和PowerShell MiamiBeach木馬）進行網絡間諜活動。

此外還發(fā)現(xiàn)一個新的COMpfun惡意軟件。攻擊者在將原始COMpfun用作下載程序，根據一些樣本中留下的a.pdb路徑命名它為Reductor。攻擊者花費了大量精力來操作Reducer中的數(shù)字根證書，并使用唯一的主機相關標識符標記出站TLS通信。該惡意軟件將嵌入的根證書添加到目標主機，并允許攻擊者通過管道遠程添加其他證書。

Zebrocy

Zebrocy繼續(xù)使用各種編程語言向其庫中添加新工具。Zebrocy在東南亞一個外交組織內部署了一個編譯好的PythocyDbg腳本。該模塊主要提供網絡代理和通信調試功能進行情報秘密收集。2019年初，Zebrocy使用Nimrod/Nim（一種語法類似于Pascal和Python的編程語言，可以編譯成JavaScript或C）。今年9月，Zebrocy spear在歐洲各地對北約等多個目標進行網絡釣魚，試圖獲取電子郵件通信、憑據和敏感文件。與Zebrocy以往的活動類似，在電子郵件中使用與目標相關的內容，并壓縮包含無害文檔附件，以及帶有相同文件名的可執(zhí)行文件。該組還利用Word模板從合法的Dropbox文件共享站點中獲取文件。

Platinum

今年6月發(fā)現(xiàn)了一組不尋常的樣本，其主要針對南亞和東南亞國家的外交、政府和軍事組織，最終將其歸屬于Platinum，Platinum是技術最先進的APT之一。在這次行動中，攻擊者使用了精心設計的隱寫技術來隱藏通信。今年晚些時候，在一次網絡攻擊活動中，發(fā)現(xiàn)了Platinum組織使用的新的后門Titanium，這個惡意軟件和ProjectC的工具集有相似之處，在2016年檢測到ProjectC被用作橫向移動的工具集。

Lazarus

在2018年AppleJeus報告的主要發(fā)現(xiàn)是Lazarus組織瞄準Mac OS系統(tǒng)。從那時起Lazarus擴大了他們的業(yè)務范圍。今年又發(fā)現(xiàn)了新的活動，以蘋果的客戶為目標利用PowerShell來控制Windows系統(tǒng)和Mac OS惡意軟件。Lazarus還瞄準了韓國的一家移動游戲公司，其目的是竊取應用程序源代碼。Lazarus一直在快速更新它的工具。

Andariel是Lazarus的一個子組織，專注于韓國的地緣政治和金融情報。攻擊者利用存在漏洞的Weblogic服務器構建C2，在樣本使用的是CVE-2017-10271。成功突破后，攻擊者植入有韓國安全軟件供應商合法簽名的惡意軟件。這個惡意軟件是一個后門，叫做ApolloZeus。這個后門使用了一個相對較大的外殼代碼，使分析變得困難。此外還找到了幾個相關的樣本，以及攻擊者用來傳播它的文檔。

BlueNoroff

在第三季度跟蹤了BlueNoroff的新活動，確認了受害者是緬甸的一家銀行。研究人員立即與銀行聯(lián)系，分享已經發(fā)現(xiàn)的IOC，并獲得攻擊者橫向移動工具。攻擊者使用公共登錄憑據轉儲程序和自制的PowerShell腳本進行橫向移動。BlueNoroff還使用了一種新結構惡意軟件，可以減慢分析速度。根據命令行參數(shù)的不同，此惡意軟件可以作為后門或隧道。此外還發(fā)現(xiàn)了另一種類型的PowerShell腳本，其主要目標為土耳其，這個PowerShell腳本的功能與之前使用的類似，但BlueNoroff不斷地更改它以逃避檢測。

DarkHotel 

今年10月偶然發(fā)現(xiàn)一個樣本，使用的誘餌文件和圖片中包含朝鮮海外居民的聯(lián)系名單，所有的誘餌都包含朝鮮半島國慶節(jié)和朝鮮國慶節(jié)的內容，內容還涉及外交問題和商業(yè)關系。攻擊者利用魚叉釣魚和多階段感染，植入量身定制的惡意軟件。研究發(fā)現(xiàn)該攻擊活動歸屬于DarkHotel APT組織。

Lamberts

Lamberts是一個或多個攻擊者使用的復雜攻擊工具家族。武器庫包括網絡驅動后門、模塊化后門、破壞性攻擊等。Silver Lambert是Gray Lambert的升級，它是一個成熟的后門，在中國的航空部門發(fā)現(xiàn)了他的蹤跡。Violet Lambert是一款模塊化后門，于2018年開發(fā)和部署，可在各種版本的Windows上運行，包括Windows XP，以及Vista和更高版本的Windows。還在中東一個重要基礎設施的電腦上發(fā)現(xiàn)了其他新的Lamberts后門，這個惡意軟件在網絡上監(jiān)聽，等待一個ping命令，然后執(zhí)行一個我們無法解密的負載，后門發(fā)現(xiàn)后不久，所有受感染的電腦都離線了。

LuckyMouse

今年早些時候監(jiān)測到了由LuckyMouse發(fā)起的活動，該活動至少從2018年4月起就針對越南政府和海外外交。他們利用網絡服務漏洞作為其主要的初始感染切入點，同時在網絡釣魚消息中使用的誘餌文件，顯示了其靈活使用運營商。攻擊者還將HTran-TCP代理源代碼包含到惡意軟件中，重定向流量。一些NetBot配置數(shù)據包含LAN ip，它從本地網絡中另一個受感染的主機下載下一階段程序。根據檢測內部數(shù)據庫服務器是目標之一。最后一步，攻擊者使用32位和64位木馬注入系統(tǒng)進程內存。

從2019年初開始，在中亞和中東LuckyMouse的活動都出現(xiàn)了高峰。攻擊者目標集中在電信運營商，大學和政府，通過直接攻擊、魚叉式網絡釣魚，水坑攻擊等手段。

HoneyMyte

HoneyMyte已經活躍了好幾年了。在過去幾年中，該組織采用了不同的技術實施攻擊，目標是緬甸、蒙古、埃塞俄比亞、越南和孟加拉國的政府，以及位于巴基斯坦、韓國、美國、英國、比利時、尼泊爾、澳大利亞和新加坡外國大使館。今年，該組織的目標是緬甸與自然資源管理有關的政府組織和一個非洲大陸組織，其主要動機之一是收集地緣政治和經濟情報。

Icefog

自2011年以來Icefog目標一直是主要位于韓國、日本和中亞的政府機構、軍事承包商、海事和造船組織、電信運營商、衛(wèi)星運營商、工業(yè)和高科技公司以及大眾媒體。2013年該組織的行動速度放緩，2016略有增加，從2018年初開始Icefog開始對中亞政府機構和軍事承包商進行大規(guī)模攻擊。在最新一波的攻擊中，感染源于一封包含惡意文檔的釣魚郵件，該郵件利用已知漏洞攻擊并最終部署有效負載。

從2018年到2019年初，有效載荷是典型的Icefog后門。自2019年5月以來，攻擊者把Poison Ivy作為他們的主要后門。Poison Ivy利用“l(fā)oad order hijacking”技術加載惡意DLL，這項技術非常普遍，在以前的Icefog攻擊活動中也使用過。另外還檢測到使用從GitHub下載的TCP掃描器、Mimikatz變體、鍵盤記錄器以及Quarian的后門。Quarian后門用于在受害者基礎設施內創(chuàng)建隧道，以避免網絡檢測，其功能包括操作遠程文件系統(tǒng)、獲取有關受害者的信息、竊取保存的密碼、下載或上載任意文件、使用端口轉發(fā)創(chuàng)建隧道、執(zhí)行任意命令和啟動反向shell。

“新來者”的演變

ShaggyPather

在2018年1月的一份報告中討論了ShaggyPather，這是一個以前未被發(fā)現(xiàn)的針對臺灣和馬來西亞的惡意軟件。相關的活動可以追溯到十多年前，類似的代碼編譯時間為2004年。最近一次活動是在7月份印度尼西亞，以及在3月份敘利亞。較新的2018年和2019年后門代碼添加了新的混淆，不再保持明文C2字符串。其使用的外殼SinoChopper不僅執(zhí)行主機識別和后門傳遞，還執(zhí)行電子郵件竊取和其他活動。

TajMahal

今年4月，研究人員發(fā)布了關于TajMahal的報告，TajMahal是一個未發(fā)現(xiàn)的APT框架，在過去五年中一直處于活躍狀態(tài)。它是一個高度復雜的間諜軟件框架，包括后門、加載程序、C2通信程序、錄音機、鍵盤記錄器、屏幕和網絡攝像頭抓取程序、文檔和密碼密鑰竊取程序和文件索引器，其加密文件系統(tǒng)中發(fā)現(xiàn)了多達80個惡意模塊，這是APT工具集中見過的數(shù)量最多之一。該惡意軟件有兩個不同的軟件包，自稱Tokyo和Yokohama，攻擊者利用Tokyo作為第一階段感染，在目標受害者身上部署功能齊全的Yokohama。檢測顯示只有一個受害者，來自中亞國家的外交機構，研究人員認為可能還有其他的受害者還沒有找到。

FrutiyArmor和SandCat

今年2月檢測到有人試圖利用Windows中的漏洞進行攻擊，進一步的分析發(fā)現(xiàn)win32k.sys中存在一個零日漏洞，F(xiàn)ruityArmor和SandCat利用了這一漏洞。FrutiyArmor和SandCat攻擊活動各不相同，兩者同時使用相同的漏洞，似乎表明存在第三方為他們提供漏洞。

未明確攻擊者

2019年2月發(fā)現(xiàn)俄羅斯南部發(fā)生了一次目標明確的攻擊，其使用名為Cloudmid的未知惡意軟件。這個間諜程序通過電子郵件傳播，偽裝成俄羅斯一家知名安全公司的VPN客戶端。到目前為止還無法將此活動與任何已知攻擊者聯(lián)系起來。惡意軟件本身是一個簡單的文件偷取程序。

今年2月發(fā)現(xiàn)了一場針對印度軍事組織的行動，但無法將其歸屬于任何已知的攻擊者。攻擊者依靠水坑和魚叉釣魚來感染受害者。他們能夠破壞陸戰(zhàn)研究中心（CLAWS）的網站，利用該網站托管一份惡意文件來分發(fā)Netwire RAT。

DADJOKE

在第三季度發(fā)現(xiàn)了DADJOKE的惡意軟件活動。該惡意軟件于2019年1月首次在野使用，隨后不斷發(fā)展。自今年1月以來只在少數(shù)活動中見過這種惡意軟件，這些活動的目標都是東南亞地區(qū)的政府、軍事和外交。最近的一次是在8月份，針對某個軍事組織的工作人員。

隱私問題

1月17日，安全研究員Troy Hunt報告稱，有超過7.73億封電子郵件和2100萬條密碼記錄泄露。這些數(shù)據被稱為Collection#1，最初是在云服務MEGA上共享的。Collection#1只是約1tb數(shù)據泄漏的一小部分，總數(shù)據分成7部分，通過數(shù)據交易論壇分發(fā)。Collection#1只是大量泄露憑證的一部分，其中包括22億個被盜賬戶記錄。

2月份又發(fā)生了數(shù)據泄露事件。黑客從16家公司盜取的6.17億個賬戶詳細信息在DreamMarket出售。黑客攻擊的公司包括Dubsmash、MyFitnessPal、Armor Games和CoffeeMeetsBagel。隨后，又有8家公司的數(shù)據被發(fā)布到同一個市場。在3月份黑客又發(fā)布了另外6家公司的被盜數(shù)據。

新聞中關于電子郵件地址和密碼泄露的源源不斷的報道，這種“傳統(tǒng)”認證形式的失竊會導致嚴重的后果，但其他認證方法的泄密影響可能會更嚴重。今年8月，兩名以色列研究人員在一個可公開訪問的數(shù)據庫中發(fā)現(xiàn)了Suprema Biostar 2生物控制系統(tǒng)的指紋、面部識別數(shù)據和其他個人信息。生物測數(shù)據的泄露尤其令人關注。泄露的密碼可以更改，但生物特征是終身的。

智能設備在我生活新領域中的廣泛使用為攻擊者提供了一個更大的數(shù)據池。例如智能揚聲器在家里可監(jiān)聽談話的影響。社交媒體巨頭正擁有越來越多的個人信息，這些信息對犯罪分子和APT組織都是非常有價值的。