信息來源：安全內(nèi)參

關(guān)鍵詞：APT、季度報告

概述

近五年來，卡巴斯基的GReAT團隊一直在發(fā)布針對高級持續(xù)性威脅（APT）活動的季度總結(jié)，這些總結(jié)是基于其以往的威脅情報研究工作撰寫的。本文描述了其在2022年第二季度觀察到的攻擊活動。

1.重要發(fā)現(xiàn)

1月24日，Twitter上發(fā)布了惡意軟件Solaris SPARC的hash。這個復雜的、模塊化的網(wǎng)絡(luò)間諜平臺在復雜性上可以與EquationDrug、Remsec和Regin相媲美。分析者發(fā)現(xiàn)了該樣本的一個Windows變體，其具有相同的字符串加密算法、內(nèi)部模塊和功能。該樣本是一個被稱為SBZ的復雜的框架，具有尋址、重定向和路由等功能。SBZ可能代指Equation Group使用的網(wǎng)絡(luò)間諜平臺STRAITBIZZARE。有趣的是，從ShadowBrokers導出的 DanderSpritz樣本的接口ID與該框架的接口ID之間存在重疊?？ò退够呀?jīng)提供了兩份關(guān)于SBZ的Windows變體和SPARC變體的技術(shù)報告。

2021年底，該研究團隊利用固件掃描器，識別出了一個被植入UEFI固件鏡像的惡意DXE驅(qū)動程序了。該惡意驅(qū)動程序與兼容性支持模塊（CSM）相對應(yīng)，用于從主引導記錄（MBR）中啟動一個引導序列。攻擊者修改了該模塊，以便在執(zhí)行正常邏輯之外產(chǎn)生一個攻擊鏈，以最終部署惡意的內(nèi)核模式的shellcode，該shellcode會從外部服務(wù)器上執(zhí)行一個額外的載荷。研究人員將惡意UEFI組件命名為CosmicStrand，對其進行研究發(fā)現(xiàn)，已有其他廠商對其變體進行了分析。研究人員最初發(fā)現(xiàn)的樣本只有少量的修改，但使用了不同的基礎(chǔ)設(shè)施。這兩個變體在一套PC設(shè)備中被發(fā)現(xiàn)，并可能在限制內(nèi)收到來自各自C2服務(wù)器的響應(yīng)。研究人員做出猜測，高級攻擊者可能有針對性地對不確定的目標進行攻擊。它的攻擊目標主要是中國、越南、俄羅斯和伊朗的計算機。

1.1 歐洲地區(qū)的活動

Proofpoint在3月發(fā)表了一篇文章，介紹了一個與俄烏戰(zhàn)爭有關(guān)的新型魚叉式網(wǎng)絡(luò)釣魚攻擊活動，并初步認為此次攻擊是UNC1151（又名TA445和Ghostwriter）所為。Proofpoint認為，該攻擊與烏克蘭當前局勢有關(guān)。攻擊者向負責管理歐洲交通和人口流動的歐洲政府工作人員發(fā)送魚叉式釣魚郵件，來讓他們感染Sunseed木馬?？ò退够芯咳藛T對該活動進行調(diào)查發(fā)現(xiàn)，至少從2020年5月起，就有了該組織針對中亞、歐洲和美洲眾多實體的其他相關(guān)活動。研究人員發(fā)現(xiàn)了此次活動與以前觀察到的攻擊活動的聯(lián)系、攻擊者使用的新的未知的樣本、大量關(guān)于C2基礎(chǔ)設(shè)施的最新信息，以及被投遞給受害者的最新樣本。

1.2 中東地區(qū)的活動

最近，SEKOIA.IO的研究人員發(fā)布了一份涉及一個域名集群的報告，他們認為這是一個惡意基礎(chǔ)設(shè)施的一部分，并將其稱之為BananaSulfate。這個基礎(chǔ)設(shè)施十分有趣，它似乎正在迅速擴大，并且變化很大，到目前為止已經(jīng)注冊了幾十個域名，而且只在短時間內(nèi)活躍。此外，正如SEKOIA.IO所指出的，這些域名表明它們可能是針對多個平臺的攻擊的一部分，因為這些域名偽裝成Windows、iOS和Android操作系統(tǒng)的合法服務(wù)。最后，這個基礎(chǔ)設(shè)施與研究人員在以前的報告中觀察到的基礎(chǔ)設(shè)施之間具有某些相似之處，因此這些攻擊可能是Karkadann/Piwiks的新的活動。

1.3 東南亞和朝鮮半島的活動

今年一月，Kimsuky發(fā)送含有宏嵌入的Word文檔的魚叉式釣魚郵件發(fā)起攻擊，攻擊了韓國的一家媒體公司和一家智囊機構(gòu)。研究人員發(fā)現(xiàn)了各種不同的Word文檔的樣本，每個樣本都與朝鮮半島的地緣政治問題有關(guān)。攻擊者還利用一個HTML格式的誘餌文件感染受害者。在最初的感染之后，向受害者投遞一個Visual Basic腳本；在此過程中，攻擊者濫用了一個合法的博客服務(wù)來托管具有編碼格式的惡意腳本，植入的VBS文件能夠報告受感染計算機的信息，并下載額外的具有編碼格式的惡意載荷；攻擊的最后階段是一個受感染的Windows可執(zhí)行文件。最后，惡意軟件能夠竊取受害者的信息，如文件列表、按鍵信息和存儲在網(wǎng)絡(luò)瀏覽器中的登錄憑證。研究人員從攻擊者的基礎(chǔ)設(shè)施中發(fā)現(xiàn)了包含更多潛在受害者的眾多IP地址的日志文件。研究發(fā)現(xiàn)此次活動與之前的Kimsuky惡意軟件有許多重疊：該攻擊者長期以來一直使用其原始的惡意軟件代碼和腳本。然而，感染方案卻一直在不斷發(fā)展。在這個例子中，一個合法的博客服務(wù)增加了自身的可信度，并且感染階段增加了對受害者身份的驗證。研究人員還觀察到一個有趣的現(xiàn)象，該攻擊者將受害者網(wǎng)絡(luò)中的一臺被入侵的計算機作為其惡意軟件的測試環(huán)境。

Lazarus是目前最活躍的團伙之一，其主要目標是國防工業(yè)和金融機構(gòu)，研究人員近期又發(fā)現(xiàn)了該組織的兩起攻擊活動。DeathNote是Lazarus使用的一個復雜的惡意軟件集群，研究人員在 Lazarus攻擊一家軟件供應(yīng)商和智囊機構(gòu)時發(fā)現(xiàn)了這個集群，隨后便在韓國發(fā)現(xiàn)有幾個實體在2月份被類似的惡意軟件所感染。然而，在這些活動中，感染方式略有更新，因為攻擊者在其投遞過程中加入了wAgent惡意軟件。

自2021年下半年以來，研究人員一直在檢測來自SideCopy的新的攻擊活動，研究人員認為它是TransparentTribe下的一個子團伙。這些攻擊的目標是印度和阿富汗，某些攻擊有更加復雜的攻擊鏈，并且都涉及復雜的技術(shù)，如帶有加密/混淆的惡意載荷的HTA腳本的不同階段，內(nèi)存駐留的惡意軟件，以及在大多數(shù)情況下，隱蔽加載DLL以執(zhí)行NightFury后門。研究人員發(fā)現(xiàn)，它們要么始于含有惡意LNK文件的ZIP文檔，要么始于帶有惡意VBA宏的Word文檔。這些攻擊的最終載荷包括Crimson RAT、ReverseRAT和NightFury后門。攻擊者使用被攻擊的網(wǎng)站來托管最初的HTA腳本，將他們自己的服務(wù)器作為不同的后門和RAT樣本的C2和下載器模塊的下載服務(wù)器?？ò退够峁┝藢@些基礎(chǔ)設(shè)施和惡意軟件組件的更加詳細的分析。

研究人員發(fā)現(xiàn)了一個從2022年3月開始的高度活躍的攻擊活動，該活動針對韓國的股票和加密貨幣投資者。根據(jù)域名的命名方式，研究人員將該活動稱為NaiveCopy。攻擊者使用加密貨幣相關(guān)的內(nèi)容或執(zhí)法部門的投訴作為誘餌文檔。感染鏈包括遠程模板注入，產(chǎn)生惡意的宏，利用Dropbox啟動多階段的感染程序。最后，在向受害者的主機發(fā)出信號后，該惡意軟件試圖獲取最后階段的載荷。研究人員幸運地獲得了最后階段的載荷，它由幾個模塊組成，用于從受害者處獲取敏感信息。研究人員分析了該載荷，并發(fā)現(xiàn)了一年前其使用的其他樣本。當時，攻擊者將Excel文檔和Windows可執(zhí)行文件作為最初的感染載體。其與2021年使用的載荷結(jié)構(gòu)不同，但與之前的版本有許多重疊之處?；谶@一發(fā)現(xiàn)，研究人員認為該活動至少持續(xù)了一年之久?？ò退够芯咳藛T與KrCERT和ISP供應(yīng)商進行合作，關(guān)閉了攻擊者的基礎(chǔ)設(shè)施，阻止了更多的感染行為。在歸因方面，研究人員無法找到與已知攻擊者的確切的關(guān)聯(lián)，但是研究人員認為他們熟悉韓語，并利用類似的策略竊取了一個著名的韓國門戶網(wǎng)站的登錄憑證。

從2022年1月開始，TransparentTribe（又名PROJECTM和MYTHIC LEOPARD）開始對印度的政府工作人員進行新一輪攻擊。在這些攻擊中，受害者被引誘訪問虛假網(wǎng)站，該網(wǎng)站模仿Kavach的官方存儲庫。Kavach是印度的政府雇員必須使用的雙因素認證應(yīng)用程序。受害者被誘騙下載并執(zhí)行假的安裝程序，這些程序會驗證受害者，并下載新型木馬AREA51。該木馬用來執(zhí)行另一個驗證過程，識別相關(guān)的受害者，以感染其他惡意軟件。研究人員發(fā)現(xiàn)攻擊者使用AREA51來部署一個新版本的MumbaiRAT、一個新的CrimsonRAT變體和PeppyRAT。研究人員還發(fā)現(xiàn)了一個用來分發(fā)假的Linux版Kavach安裝程序的虛假網(wǎng)站。它是一個簡單的下載器，可下載并執(zhí)行Poseidon——一個用于Linux和macOS的后漏洞利用工具，可與Mythic載荷投遞框架一起使用。

2.其它發(fā)現(xiàn)

2月份，基于KA-SAT的互聯(lián)網(wǎng)服務(wù)遭到惡意破壞，其目的可能是專門阻礙烏克蘭軍隊和安全部門的通信。研究人員能夠識別出幾個配置和敏感信息泄露的漏洞，這些漏洞允許攻擊者訪問Viasat管理的專用網(wǎng)段，并進行遠程代碼執(zhí)行或更改CPE系統(tǒng)上的配置。研究人員分析了3月15日提交的可公開使用的惡意軟件CosmosWiper，并且有較高的置信度認為，它已被用來破壞某些KA-SAT客戶的CPE系統(tǒng)。研究人員認為，用于擦除Viasat衛(wèi)星寬帶調(diào)制解調(diào)器的惡意軟件可能與VPNFilter10有關(guān)。

2月，研究人員發(fā)現(xiàn)了一個針對吉爾吉斯斯坦政府的新的SilentMarten活動。這是首次觀察到的將shellcode放入Windows事件日志的技術(shù)，使用"無文件 "的方法，將最后階段木馬隱藏在文件系統(tǒng)中。攻擊者將shellcode保存到密鑰管理系統(tǒng)（KMS）事件源的信息事件中，并有一個特定的類別ID和遞增的事件ID。另一種技術(shù)是使用一個模仿合法域名的C2域名。"eleed "這個名字屬于一個區(qū)域性的ERP/ECM產(chǎn)品，它在目標系統(tǒng)上使用了。攻擊者在進行下一個攻擊階段時，會考慮到他們最初的偵察情況。他們的反偵查解密器使用了不同的編譯器，如微軟的cl.exe，MinGW的GCC和最新版本的Go。他們不只有最后階段的木馬，還有基于HTTP和基于命名管道的木馬。除了上述的自定義模塊，還使用了幾個商業(yè)化的測試工具，如Cobalt Strike和NetSPI。在2021年9月，研究人員觀察到了在其他地區(qū)(中東和北非)的SilentBreak的工具集。投遞者還修補了Windows Native API函數(shù)，使感染過程更加隱蔽。此外，一些模塊使用Fast Invest數(shù)字證書簽名，研究人員認為該數(shù)字證書是攻擊者發(fā)布的，因為數(shù)據(jù)顯示除了這次活動中使用的惡意代碼之外，沒有任何合法軟件用它簽名。

研究人員最近發(fā)現(xiàn)了SessionManager，這是一個檢測有漏洞的IIS的惡意模塊，從2021年3月底開始，它被用來攻擊非洲、南美、亞洲、歐洲、俄羅斯和中東的非政府組織和政府機構(gòu)。研究人員有較高的信心認為，該模塊的部署得益于先前對Exchange服務(wù)器上ProxyLogon類型漏洞的利用。根據(jù)受害者的情況和OwlProxy的使用情況，分析人員認為，有一定的可能性SessionManager被 GELSEMIUM攻擊者使用。

研究人員在2020年8月首次報告了DeathStalker的VileRAT活動。在繼續(xù)跟蹤相關(guān)活動的同時，他們注意到，該攻擊者仍然定期更新其惡意軟件和之前的感染鏈。DeathStalker的主要戰(zhàn)術(shù)不變，但在努力逃避檢測。研究人員最近發(fā)現(xiàn)了新的感染文件，最終提供了更新的VileRAT樣本，并在一份詳細的報告中提供了關(guān)于這些活動的新的指標信息和知識。

近年來，攻擊泄密事件的數(shù)量穩(wěn)步增加，這已成為APT和網(wǎng)絡(luò)犯罪分子的一個常用方式。對APT來說，泄密事件主要是用來破壞目標對象的形象，損害其聲譽。例如，早在2016年，民主黨全國委員會主席黛比-瓦瑟曼-舒爾茨在維基解密的大量電子郵件泄露后辭職。對于網(wǎng)絡(luò)犯罪分子來說，泄密通常與勒索軟件攻擊結(jié)合使用，即公司的數(shù)據(jù)被加密并被勒索贖金。自俄烏戰(zhàn)爭開始以來，各種網(wǎng)絡(luò)犯罪集團（如Conti）表示支持參與沖突的各方，混淆了國家支持的行動和網(wǎng)絡(luò)犯罪行動之間的界限。同樣，可以看到目前與沖突有關(guān)的黑客活動的數(shù)量激增，從DDoS攻擊到人肉搜索和黑客泄密攻擊。

在一份報告中，卡巴斯基公布了一份對現(xiàn)代勒索軟件技術(shù)、戰(zhàn)術(shù)和策略（TTP）的全面調(diào)查。該報告結(jié)合了卡巴斯基多個團隊的努力--威脅研究團隊、全球應(yīng)急響應(yīng)團隊（GERT）和全球研究與分析團隊（GReAT）。他們還采用了埃斯卡爾先進技術(shù)研究所（SANS）、國家網(wǎng)絡(luò)安全中心和國家標準與技術(shù)研究所（NIST）的最佳實踐。該報告選擇了最活躍的攻擊團體，詳細分析了他們所實施的攻擊，并采用了MITRE ATT&CK框架來確定TTP。通過跟蹤這些團體的活動和并對攻擊進行分析，研究人員發(fā)現(xiàn)在整個網(wǎng)絡(luò)殺傷鏈中，核心技術(shù)是相同的。此處揭示的攻擊模式并不是偶然的，而是這類攻擊需要黑客經(jīng)過一定的階段，如滲透到企業(yè)網(wǎng)絡(luò)或受害者的電腦，投遞惡意軟件，進一步發(fā)現(xiàn)、劫持賬戶，刪除備份，最終實現(xiàn)他們的目標。

3. 最終思考

主要依靠社會工程學的攻擊者的TTP隨著時間的推移沒有太大變化，而其他的攻擊者都更新了他們的工具集，擴大了他們的攻擊范圍。而該季度總結(jié)也旨在強調(diào)APT組織的主要發(fā)展過程。以下是研究人員在2022年第二季度發(fā)現(xiàn)的主要趨勢：

• 地緣政治仍然是APT發(fā)展的動力之一。不出所料，我們將繼續(xù)看到以俄烏戰(zhàn)爭為主題的攻擊活動。目前 "黑客攻擊 "激增，從DDoS攻擊到人肉搜索再到黑客泄密行動。網(wǎng)絡(luò)犯罪分子也在尋求利用這一沖突。此外，我們還看到攻擊者將戰(zhàn)爭作為主題，引誘潛在受害者運行惡意代碼。

• 正如在針對韓國股票和加密貨幣投資者的NaiveCopy活動報告中所強調(diào)的，經(jīng)濟利益仍然是APT攻擊的動機之一。

• 在卡巴斯基2021年的APT年度回顧中，研究人員強調(diào)了兩起攻擊者利用UEFI的案例，并預測了低級別攻擊會進一步增長。本季度研究人員報告了另一個惡意的UEFI組件CosmicStrand。