卡巴斯基:2022年第二季度APT趨勢報(bào)告 |
來源:聚銘網(wǎng)絡(luò) 發(fā)布時(shí)間:2022-08-05 瀏覽次數(shù): |
信息來源:安全內(nèi)參 關(guān)鍵詞:APT、季度報(bào)告 概述 近五年來,卡巴斯基的GReAT團(tuán)隊(duì)一直在發(fā)布針對高級持續(xù)性威脅(APT)活動的季度總結(jié),這些總結(jié)是基于其以往的威脅情報(bào)研究工作撰寫的。本文描述了其在2022年第二季度觀察到的攻擊活動。 1.重要發(fā)現(xiàn) 1月24日,Twitter上發(fā)布了惡意軟件Solaris SPARC的hash。這個(gè)復(fù)雜的、模塊化的網(wǎng)絡(luò)間諜平臺在復(fù)雜性上可以與EquationDrug、Remsec和Regin相媲美。分析者發(fā)現(xiàn)了該樣本的一個(gè)Windows變體,其具有相同的字符串加密算法、內(nèi)部模塊和功能。該樣本是一個(gè)被稱為SBZ的復(fù)雜的框架,具有尋址、重定向和路由等功能。SBZ可能代指Equation Group使用的網(wǎng)絡(luò)間諜平臺STRAITBIZZARE。有趣的是,從ShadowBrokers導(dǎo)出的 DanderSpritz樣本的接口ID與該框架的接口ID之間存在重疊。卡巴斯基已經(jīng)提供了兩份關(guān)于SBZ的Windows變體和SPARC變體的技術(shù)報(bào)告。 2021年底,該研究團(tuán)隊(duì)利用固件掃描器,識別出了一個(gè)被植入U(xiǎn)EFI固件鏡像的惡意DXE驅(qū)動程序了。該惡意驅(qū)動程序與兼容性支持模塊(CSM)相對應(yīng),用于從主引導(dǎo)記錄(MBR)中啟動一個(gè)引導(dǎo)序列。攻擊者修改了該模塊,以便在執(zhí)行正常邏輯之外產(chǎn)生一個(gè)攻擊鏈,以最終部署惡意的內(nèi)核模式的shellcode,該shellcode會從外部服務(wù)器上執(zhí)行一個(gè)額外的載荷。研究人員將惡意UEFI組件命名為CosmicStrand,對其進(jìn)行研究發(fā)現(xiàn),已有其他廠商對其變體進(jìn)行了分析。研究人員最初發(fā)現(xiàn)的樣本只有少量的修改,但使用了不同的基礎(chǔ)設(shè)施。這兩個(gè)變體在一套PC設(shè)備中被發(fā)現(xiàn),并可能在限制內(nèi)收到來自各自C2服務(wù)器的響應(yīng)。研究人員做出猜測,高級攻擊者可能有針對性地對不確定的目標(biāo)進(jìn)行攻擊。它的攻擊目標(biāo)主要是中國、越南、俄羅斯和伊朗的計(jì)算機(jī)。 1.1 歐洲地區(qū)的活動 Proofpoint在3月發(fā)表了一篇文章,介紹了一個(gè)與俄烏戰(zhàn)爭有關(guān)的新型魚叉式網(wǎng)絡(luò)釣魚攻擊活動,并初步認(rèn)為此次攻擊是UNC1151(又名TA445和Ghostwriter)所為。Proofpoint認(rèn)為,該攻擊與烏克蘭當(dāng)前局勢有關(guān)。攻擊者向負(fù)責(zé)管理歐洲交通和人口流動的歐洲政府工作人員發(fā)送魚叉式釣魚郵件,來讓他們感染Sunseed木馬??ò退够芯咳藛T對該活動進(jìn)行調(diào)查發(fā)現(xiàn),至少從2020年5月起,就有了該組織針對中亞、歐洲和美洲眾多實(shí)體的其他相關(guān)活動。研究人員發(fā)現(xiàn)了此次活動與以前觀察到的攻擊活動的聯(lián)系、攻擊者使用的新的未知的樣本、大量關(guān)于C2基礎(chǔ)設(shè)施的最新信息,以及被投遞給受害者的最新樣本。 1.2 中東地區(qū)的活動 最近,SEKOIA.IO的研究人員發(fā)布了一份涉及一個(gè)域名集群的報(bào)告,他們認(rèn)為這是一個(gè)惡意基礎(chǔ)設(shè)施的一部分,并將其稱之為BananaSulfate。這個(gè)基礎(chǔ)設(shè)施十分有趣,它似乎正在迅速擴(kuò)大,并且變化很大,到目前為止已經(jīng)注冊了幾十個(gè)域名,而且只在短時(shí)間內(nèi)活躍。此外,正如SEKOIA.IO所指出的,這些域名表明它們可能是針對多個(gè)平臺的攻擊的一部分,因?yàn)檫@些域名偽裝成Windows、iOS和Android操作系統(tǒng)的合法服務(wù)。最后,這個(gè)基礎(chǔ)設(shè)施與研究人員在以前的報(bào)告中觀察到的基礎(chǔ)設(shè)施之間具有某些相似之處,因此這些攻擊可能是Karkadann/Piwiks的新的活動。 1.3 東南亞和朝鮮半島的活動 今年一月,Kimsuky發(fā)送含有宏嵌入的Word文檔的魚叉式釣魚郵件發(fā)起攻擊,攻擊了韓國的一家媒體公司和一家智囊機(jī)構(gòu)。研究人員發(fā)現(xiàn)了各種不同的Word文檔的樣本,每個(gè)樣本都與朝鮮半島的地緣政治問題有關(guān)。攻擊者還利用一個(gè)HTML格式的誘餌文件感染受害者。在最初的感染之后,向受害者投遞一個(gè)Visual Basic腳本;在此過程中,攻擊者濫用了一個(gè)合法的博客服務(wù)來托管具有編碼格式的惡意腳本,植入的VBS文件能夠報(bào)告受感染計(jì)算機(jī)的信息,并下載額外的具有編碼格式的惡意載荷;攻擊的最后階段是一個(gè)受感染的Windows可執(zhí)行文件。最后,惡意軟件能夠竊取受害者的信息,如文件列表、按鍵信息和存儲在網(wǎng)絡(luò)瀏覽器中的登錄憑證。研究人員從攻擊者的基礎(chǔ)設(shè)施中發(fā)現(xiàn)了包含更多潛在受害者的眾多IP地址的日志文件。研究發(fā)現(xiàn)此次活動與之前的Kimsuky惡意軟件有許多重疊:該攻擊者長期以來一直使用其原始的惡意軟件代碼和腳本。然而,感染方案卻一直在不斷發(fā)展。在這個(gè)例子中,一個(gè)合法的博客服務(wù)增加了自身的可信度,并且感染階段增加了對受害者身份的驗(yàn)證。研究人員還觀察到一個(gè)有趣的現(xiàn)象,該攻擊者將受害者網(wǎng)絡(luò)中的一臺被入侵的計(jì)算機(jī)作為其惡意軟件的測試環(huán)境。 Lazarus是目前最活躍的團(tuán)伙之一,其主要目標(biāo)是國防工業(yè)和金融機(jī)構(gòu),研究人員近期又發(fā)現(xiàn)了該組織的兩起攻擊活動。DeathNote是Lazarus使用的一個(gè)復(fù)雜的惡意軟件集群,研究人員在 Lazarus攻擊一家軟件供應(yīng)商和智囊機(jī)構(gòu)時(shí)發(fā)現(xiàn)了這個(gè)集群,隨后便在韓國發(fā)現(xiàn)有幾個(gè)實(shí)體在2月份被類似的惡意軟件所感染。然而,在這些活動中,感染方式略有更新,因?yàn)楣粽咴谄渫哆f過程中加入了wAgent惡意軟件。 自2021年下半年以來,研究人員一直在檢測來自SideCopy的新的攻擊活動,研究人員認(rèn)為它是TransparentTribe下的一個(gè)子團(tuán)伙。這些攻擊的目標(biāo)是印度和阿富汗,某些攻擊有更加復(fù)雜的攻擊鏈,并且都涉及復(fù)雜的技術(shù),如帶有加密/混淆的惡意載荷的HTA腳本的不同階段,內(nèi)存駐留的惡意軟件,以及在大多數(shù)情況下,隱蔽加載DLL以執(zhí)行NightFury后門。研究人員發(fā)現(xiàn),它們要么始于含有惡意LNK文件的ZIP文檔,要么始于帶有惡意VBA宏的Word文檔。這些攻擊的最終載荷包括Crimson RAT、ReverseRAT和NightFury后門。攻擊者使用被攻擊的網(wǎng)站來托管最初的HTA腳本,將他們自己的服務(wù)器作為不同的后門和RAT樣本的C2和下載器模塊的下載服務(wù)器??ò退够峁┝藢@些基礎(chǔ)設(shè)施和惡意軟件組件的更加詳細(xì)的分析。 研究人員發(fā)現(xiàn)了一個(gè)從2022年3月開始的高度活躍的攻擊活動,該活動針對韓國的股票和加密貨幣投資者。根據(jù)域名的命名方式,研究人員將該活動稱為NaiveCopy。攻擊者使用加密貨幣相關(guān)的內(nèi)容或執(zhí)法部門的投訴作為誘餌文檔。感染鏈包括遠(yuǎn)程模板注入,產(chǎn)生惡意的宏,利用Dropbox啟動多階段的感染程序。最后,在向受害者的主機(jī)發(fā)出信號后,該惡意軟件試圖獲取最后階段的載荷。研究人員幸運(yùn)地獲得了最后階段的載荷,它由幾個(gè)模塊組成,用于從受害者處獲取敏感信息。研究人員分析了該載荷,并發(fā)現(xiàn)了一年前其使用的其他樣本。當(dāng)時(shí),攻擊者將Excel文檔和Windows可執(zhí)行文件作為最初的感染載體。其與2021年使用的載荷結(jié)構(gòu)不同,但與之前的版本有許多重疊之處?;谶@一發(fā)現(xiàn),研究人員認(rèn)為該活動至少持續(xù)了一年之久??ò退够芯咳藛T與KrCERT和ISP供應(yīng)商進(jìn)行合作,關(guān)閉了攻擊者的基礎(chǔ)設(shè)施,阻止了更多的感染行為。在歸因方面,研究人員無法找到與已知攻擊者的確切的關(guān)聯(lián),但是研究人員認(rèn)為他們熟悉韓語,并利用類似的策略竊取了一個(gè)著名的韓國門戶網(wǎng)站的登錄憑證。 從2022年1月開始,TransparentTribe(又名PROJECTM和MYTHIC LEOPARD)開始對印度的政府工作人員進(jìn)行新一輪攻擊。在這些攻擊中,受害者被引誘訪問虛假網(wǎng)站,該網(wǎng)站模仿Kavach的官方存儲庫。Kavach是印度的政府雇員必須使用的雙因素認(rèn)證應(yīng)用程序。受害者被誘騙下載并執(zhí)行假的安裝程序,這些程序會驗(yàn)證受害者,并下載新型木馬AREA51。該木馬用來執(zhí)行另一個(gè)驗(yàn)證過程,識別相關(guān)的受害者,以感染其他惡意軟件。研究人員發(fā)現(xiàn)攻擊者使用AREA51來部署一個(gè)新版本的MumbaiRAT、一個(gè)新的CrimsonRAT變體和PeppyRAT。研究人員還發(fā)現(xiàn)了一個(gè)用來分發(fā)假的Linux版Kavach安裝程序的虛假網(wǎng)站。它是一個(gè)簡單的下載器,可下載并執(zhí)行Poseidon——一個(gè)用于Linux和macOS的后漏洞利用工具,可與Mythic載荷投遞框架一起使用。 2.其它發(fā)現(xiàn) 2月份,基于KA-SAT的互聯(lián)網(wǎng)服務(wù)遭到惡意破壞,其目的可能是專門阻礙烏克蘭軍隊(duì)和安全部門的通信。研究人員能夠識別出幾個(gè)配置和敏感信息泄露的漏洞,這些漏洞允許攻擊者訪問Viasat管理的專用網(wǎng)段,并進(jìn)行遠(yuǎn)程代碼執(zhí)行或更改CPE系統(tǒng)上的配置。研究人員分析了3月15日提交的可公開使用的惡意軟件CosmosWiper,并且有較高的置信度認(rèn)為,它已被用來破壞某些KA-SAT客戶的CPE系統(tǒng)。研究人員認(rèn)為,用于擦除Viasat衛(wèi)星寬帶調(diào)制解調(diào)器的惡意軟件可能與VPNFilter10有關(guān)。 2月,研究人員發(fā)現(xiàn)了一個(gè)針對吉爾吉斯斯坦政府的新的SilentMarten活動。這是首次觀察到的將shellcode放入Windows事件日志的技術(shù),使用"無文件 "的方法,將最后階段木馬隱藏在文件系統(tǒng)中。攻擊者將shellcode保存到密鑰管理系統(tǒng)(KMS)事件源的信息事件中,并有一個(gè)特定的類別ID和遞增的事件ID。另一種技術(shù)是使用一個(gè)模仿合法域名的C2域名。"eleed "這個(gè)名字屬于一個(gè)區(qū)域性的ERP/ECM產(chǎn)品,它在目標(biāo)系統(tǒng)上使用了。攻擊者在進(jìn)行下一個(gè)攻擊階段時(shí),會考慮到他們最初的偵察情況。他們的反偵查解密器使用了不同的編譯器,如微軟的cl.exe,MinGW的GCC和最新版本的Go。他們不只有最后階段的木馬,還有基于HTTP和基于命名管道的木馬。除了上述的自定義模塊,還使用了幾個(gè)商業(yè)化的測試工具,如Cobalt Strike和NetSPI。在2021年9月,研究人員觀察到了在其他地區(qū)(中東和北非)的SilentBreak的工具集。投遞者還修補(bǔ)了Windows Native API函數(shù),使感染過程更加隱蔽。此外,一些模塊使用Fast Invest數(shù)字證書簽名,研究人員認(rèn)為該數(shù)字證書是攻擊者發(fā)布的,因?yàn)閿?shù)據(jù)顯示除了這次活動中使用的惡意代碼之外,沒有任何合法軟件用它簽名。 研究人員最近發(fā)現(xiàn)了SessionManager,這是一個(gè)檢測有漏洞的IIS的惡意模塊,從2021年3月底開始,它被用來攻擊非洲、南美、亞洲、歐洲、俄羅斯和中東的非政府組織和政府機(jī)構(gòu)。研究人員有較高的信心認(rèn)為,該模塊的部署得益于先前對Exchange服務(wù)器上ProxyLogon類型漏洞的利用。根據(jù)受害者的情況和OwlProxy的使用情況,分析人員認(rèn)為,有一定的可能性SessionManager被 GELSEMIUM攻擊者使用。 研究人員在2020年8月首次報(bào)告了DeathStalker的VileRAT活動。在繼續(xù)跟蹤相關(guān)活動的同時(shí),他們注意到,該攻擊者仍然定期更新其惡意軟件和之前的感染鏈。DeathStalker的主要戰(zhàn)術(shù)不變,但在努力逃避檢測。研究人員最近發(fā)現(xiàn)了新的感染文件,最終提供了更新的VileRAT樣本,并在一份詳細(xì)的報(bào)告中提供了關(guān)于這些活動的新的指標(biāo)信息和知識。 近年來,攻擊泄密事件的數(shù)量穩(wěn)步增加,這已成為APT和網(wǎng)絡(luò)犯罪分子的一個(gè)常用方式。對APT來說,泄密事件主要是用來破壞目標(biāo)對象的形象,損害其聲譽(yù)。例如,早在2016年,民主黨全國委員會主席黛比-瓦瑟曼-舒爾茨在維基解密的大量電子郵件泄露后辭職。對于網(wǎng)絡(luò)犯罪分子來說,泄密通常與勒索軟件攻擊結(jié)合使用,即公司的數(shù)據(jù)被加密并被勒索贖金。自俄烏戰(zhàn)爭開始以來,各種網(wǎng)絡(luò)犯罪集團(tuán)(如Conti)表示支持參與沖突的各方,混淆了國家支持的行動和網(wǎng)絡(luò)犯罪行動之間的界限。同樣,可以看到目前與沖突有關(guān)的黑客活動的數(shù)量激增,從DDoS攻擊到人肉搜索和黑客泄密攻擊。 在一份報(bào)告中,卡巴斯基公布了一份對現(xiàn)代勒索軟件技術(shù)、戰(zhàn)術(shù)和策略(TTP)的全面調(diào)查。該報(bào)告結(jié)合了卡巴斯基多個(gè)團(tuán)隊(duì)的努力--威脅研究團(tuán)隊(duì)、全球應(yīng)急響應(yīng)團(tuán)隊(duì)(GERT)和全球研究與分析團(tuán)隊(duì)(GReAT)。他們還采用了埃斯卡爾先進(jìn)技術(shù)研究所(SANS)、國家網(wǎng)絡(luò)安全中心和國家標(biāo)準(zhǔn)與技術(shù)研究所(NIST)的最佳實(shí)踐。該報(bào)告選擇了最活躍的攻擊團(tuán)體,詳細(xì)分析了他們所實(shí)施的攻擊,并采用了MITRE ATT&CK框架來確定TTP。通過跟蹤這些團(tuán)體的活動和并對攻擊進(jìn)行分析,研究人員發(fā)現(xiàn)在整個(gè)網(wǎng)絡(luò)殺傷鏈中,核心技術(shù)是相同的。此處揭示的攻擊模式并不是偶然的,而是這類攻擊需要黑客經(jīng)過一定的階段,如滲透到企業(yè)網(wǎng)絡(luò)或受害者的電腦,投遞惡意軟件,進(jìn)一步發(fā)現(xiàn)、劫持賬戶,刪除備份,最終實(shí)現(xiàn)他們的目標(biāo)。 3. 最終思考 主要依靠社會工程學(xué)的攻擊者的TTP隨著時(shí)間的推移沒有太大變化,而其他的攻擊者都更新了他們的工具集,擴(kuò)大了他們的攻擊范圍。而該季度總結(jié)也旨在強(qiáng)調(diào)APT組織的主要發(fā)展過程。以下是研究人員在2022年第二季度發(fā)現(xiàn)的主要趨勢:
|
上一篇:超2.8億條公民身份信息在公有云上暴露,印度政府未予置評 下一篇:2022年8月5日聚銘安全速遞 |