2020年第一季度APT趋势报告

卡巴斯基全球研究与分析团队(GReAT)两年多来一直在发布高级持续威胁(APT)活动的季度摘要。这些摘要基于我们的威胁情报研究,提供了我们在私人APT报告中已发表和更详细讨论的内容的代表快照。它们旨在突出我们认为人们应该意识到的重大事件和发现。

 

这是我们的最新一期,重点关注我们在2020年第一季度观察到的活动。

 

鼓励想了解我们的情报报告或需要有关特定报告的更多信息的读者联系“ intelreports@kaspersky.com”。

 

考虑到由于COVID-19大流行而导致的世界异常情况,我们必须从APT小组如何针对不同类型的攻击滥用此话题的摘要开始。

 

COVID-19 APT活动

 

自世界卫生组织(WHO)宣布COVID-19成为大流行病以来,这一话题已受到不同攻击者的越来越多的关注。我们看到的许多网络钓鱼诈骗都是由网络犯罪分子发起的,他们试图利用人们对病毒的恐惧来兑现。但是,攻击者列表中还包括APT威胁行为者,例如Kimsuky,APT27,Lazarus或ViciousPanda,他们根据OSINT曾使用以COVID-19主题的诱饵瞄准受害者。我们最近发现了可疑的基础结构,该基础结构可用于针对包括WHO在内的卫生和人道主义组织。根据一些私人消息来源,尽管基础设施目前无法归因于任何特定演员,并且已在2019年6月COVID-19危机之前进行了注册,但它可能与DarkHotel有关演员。但是,我们目前无法确认此信息。有趣的是,一些组织利用当前情况来宣布他们在危机期间不会针对卫生组织,从而试图软化声誉。

 

有不同的出版物报道了使用这种诱惑与其他APT参与者有关的活动,但是总的来说,我们不认为这暗示了TTP方面的有意义的变化,只是使用了一种流行的话题来吸引受害者。我们正在密切监视局势。

 

最显着的发现

 

2020年1月,我们利用完整的远程iOS漏洞利用链发现了一个水坑。这个网站的目的是根据目标网页的内容来定位香港的用户。虽然当前正在使用的漏洞利用程序是已知的,但负责人员正在积极修改漏洞利用工具包,以针对更多的iOS版本和设备。我们在2月7日观察到了最新的修改。该项目比我们最初想象的要广泛,它支持Android植入,并且可能支持Windows,Linux和MacOS的植入。目前,我们将此APT组称为TwoSail Junk。我们认为这是一个华语团体;它主要在香港维护基础设施,并在新加坡和上海设有几家主机。TwoSail Junk通过在论坛讨论线程中发布链接或创建自己的新主题线程来将访问者引导至其利用站点。至今,记录了来自香港的数十次访问,其中一对来自澳门。有关iOS植入程序的功能(称为LightSpy)和相关基础结构的技术细节,揭示了中低阶演员。但是,iOS植入程序是一个模块化且功能全面的iOS监视框架。

 

俄语活动

 

1月,在一家东欧电信公司中发现了几个最近编译的SPLM / XAgent模块。最初的进入点是未知的,它们在该组织内的横向运动也是未知的。与过去的Sofacy活动水平相比,几乎无法识别SPLM感染,因此似乎该网络的某些部分可能已经感染了一段时间。除了这些SPLM模块之外,Sofacy还部署了.NET XTUNNEL变体及其加载程序。与过去的XTUNNEL样本(重量为1-2MB)相比,这些20KB的XTUNNEL样本本身似乎很少。长期的Sofacy XTunnel代码库向C#的转变使我们想起Zebrocy重新编码和创新多种语言的长期使用模块的做法。

 

Gamaredon是一个知名的APT小组,至少从2013年开始活跃,传统上专注于乌克兰实体。近几个月来,我们观察到了一场由不同的浪潮组成的运动,许多社会网络上的许多研究人员也报道了这一运动。攻击者通过远程模板注入发送了恶意文档,从而导致了多级感染方案,以部署恶意加载程序,该加载程序会定期与远程C2联系以下载其他样本。根据过去的研究,我们知道Gamaredon的工具包包含许多不同的恶意软件产品,旨在实现不同的目标。其中包括扫描驱动器中的特定系统文件,捕获屏幕快照,执行远程命令,下载其他文件以及使用UltraVNC等程序管理远程计算机。在这种情况下,我们观察到一个有趣的新的第二阶段有效载荷,其中包括传播功能,我们称之为“ Aversome感染者”。该恶意软件似乎是为了在目标网络中保持强大的持久性并通过感染外部驱动器上的Microsoft Word和Excel文档而横向移动而开发的。

 

中文活动

 

CactusPete是一个讲中文的网络间谍组织,至少从2012年开始活跃,其特征是具有中级技术能力。从历史上看,该威胁行为者的目标组织是韩国,日本,美国和台湾等少数国家/地区的组织。在2019年底,该组织似乎转向更加关注蒙古和俄罗斯组织。CactusPete对俄罗斯国防工业和蒙古政府的进攻活动似乎主要是从其俄蒙商业和边境关系中划定的。但是,使用蒙古语编写了一个丢弃其Flapjack后门的诱饵攻击文档(tmplogon.exe,主要针对新的俄罗斯目标)。该小组扩大了技术范围,重新利用了目标,

 

自2018年以来,Rancor是一个已经公开报道的组织,与DragonOK有联系。传统上,这位演员专注于东南亚目标,即柬埔寨,越南和新加坡。我们注意到该小组在过去几个月中的活动有几处更新,即发现了我们称为ExDudell的Dudell恶意软件的新变种,一种绕过UAC(用户帐户控制)的新工具以及用于攻击的新基础架构。除此之外,我们还确定了以前通过邮件发送的初始诱饵文档现在可以在Telegram Desktop目录中找到,这表明该组可能正在改变其初始传递方式。

 

在2019年,我们检测到一个未知演员的活动,当时是在代表藏族利益的网站上部署水坑,欺骗受害者安装在GitHub存储库上托管的假Adobe Flash更新。卡巴斯基通过协调该存储库与GitHub的合并来抵制攻击。短暂的闲置一段时间后,我们检测到具有新工具集的新一轮水坑。我们决定将此活动称为“ 圣水”背后的小组。

 

自成立之日起,威胁行为者简单而富有创造力的工具集一直在发展,可能仍在开发中,并利用了Sojson混淆,NSIS安装程序,Python,开源代码,GitHub发行版,Go语言以及Google Drive-基于C2渠道。

 

中东

 

我们最近在2020年2月开始了针对土耳其受害者的新的,正在进行的数据泄露运动。尽管StrongPity的TTP在目标,基础设施和感染媒介方面没有改变,但我们观察到他们试图泄露的文件有所不同。在此活动中,StrongPity更新了最新的签名后门,名为StrongPity2,并添加了更多文件以渗入其常见的Office和PDF文档列表,包括用于希伯来语点缀的Dagesh Pro字处理器文件,用于河流流量和桥梁建模的RiverCAD文件,纯文本文件,归档文件以及GPG加密文件和PGP密钥。

 

3月,我们发现了针对性的活动来分发Milum,这是一种木马,旨在对目标组织中的设备进行远程控制,其中一些组织在工业部门中运作。我们将其称为WildPressure的这一操作的最初迹象可以追溯到2019年8月; 不过,该广告系列仍然有效。到目前为止,我们已经看到的Milum示例与任何已知的APT活动没有任何代码相似性。该恶意软件为攻击者提供了对受感染设备的远程控制,允许下载和执行命令,收集和泄露信息以及在恶意软件中安装升级程序。

 

在2019年12月下旬,卡巴斯基威胁归因引擎检测到Zerocleare刮水器的新变体,该变体可能已用于对沙特阿拉伯能源部门目标的定向攻击。本季度,我们确定了该刮水器的新变体,称为Dustman。在擦除和分发方面,它与Zerocleare相似,但是变量和技术名称的变化表明,这可能已经准备好迎接针对恶意软件的新一波攻击,这些攻击基于嵌入在恶意软件中的消息和创建的互斥体,专门针对沙特阿拉伯的能源部门。通过它。Dustman抽头的PDB文件表明,该破坏性代码是发行版,可以在目标网络中部署。这些变化恰逢新年假期,在此期间许多员工请假来庆祝。

 

东南亚和朝鲜半岛

 

由意大利安全公司Telsy在2019年11月概述的Lazarus活动使我们能够找到与针对加密货币业务的组织的先前活动的联系。Telsy博客上提到的恶意软件是第一阶段下载程序,自2018年中以来一直被观察到。我们发现第二阶段恶意软件是Manuscrypt的变体,它是Lazarus的唯一属性,它部署了两种类型的有效负载。第一个是可操纵的Ultra VNC程序,第二个是多级后门程序。这种类型的多阶段感染过程是Lazarus集团恶意软件的典型特征,尤其是在使用Manuscrypt变体时。在此运动中,我们的遥测表明Lazarus集团攻击了塞浦路斯,美国,台湾和香港的加密货币业务,该运动一直持续到2020年初。

 

自2013年以来我们一直跟踪的演员Kimsuky在2019年尤其活跃。12月,微软撤下了该组织使用的50个域,并在弗吉尼亚州法院对攻击者提起了诉讼。但是,该小组继续开展活动,没有发生重大变化。我们最近发现了一个新的活动,其中演员使用了以新年问候为主题的诱饵图像,该图像为旧下载器提供了新的经过改进的下一阶段有效载荷,旨在利用新的加密方法来窃取信息。

 

1月底,我们偶然发现了利用Internet Explorer漏洞CVE-2019-1367的恶意脚本。在仔细检查有效载荷并发现与先前活动的联系之后,我们得出结论,DarkHotel支持此活动,该活动可能自2018年以来一直在进行。该活动看到DarkHotel利用使用自制软件的多阶段二进制感染阶段。最初的感染会创建一个下载程序,该下载程序将获取另一个下载程序以收集系统信息,并仅为高价值受害者获取最终的后门程序。DarkHotel在此广告系列中使用了TTP的独特组合。威胁执行者使用各种基础结构来托管恶意软件并控制受感染的受害者,包括受感染的Web服务器,商业托管服务,免费托管服务和免费源代码跟踪系统。

 

今年3月,来自Google的研究人员透露,一组黑客在2019年使用了五个零日攻击目标时间针对朝鲜人和以朝鲜人为中心的专业人员。该小组利用网络钓鱼邮件中的Internet Explorer,Chrome和Windows漏洞,其中包含带有恶意附件或与恶意网站的链接以及水坑攻击。我们能够将其中的两个漏洞-IE中的一个漏洞和Windows中的一个漏洞与DarkHotel进行匹配。

 

FunnyDream这场运动始于2018年中,针对马来西亚,台湾和菲律宾的知名实体,其中大多数受害者来自越南。我们的分析表明,这是一项更广泛运动的一部分,该运动可以追溯到几年前,并针对东南亚国家的政府特别是外国组织。攻击者的后门从C2下载文件和向C2上传文件,执行命令并在受害者中运行新进程。它还收集有关网络上其他主机的信息,并通过远程执行实用程序将其传递给新主机。攻击者还使用了RTL后门和Chinoxy后门。自2018年年中以来,C2基础设施一直处于活跃状态,并且域与FFRAT恶意软件家族重叠。在许多情况下,种种迹象表明后门是通过先前的长期妥协交付的。该活动仍在进行中。

 

操作AppleJeus是拉撒路更值得注意的活动之一,并在第一时间对演员有针对性的MacOS的目标。一月份的后续研究揭示了该组织的攻击方法的重大变化:自制的macOS恶意软件和一种身份验证机制,可以谨慎地交付下一阶段的有效负载,以及在不接触磁盘的情况下加载下一阶段的有效负载。为了攻击Windows受害者,该组织制定了一个多阶段感染程序并显着更改了最终有效载荷。我们认为,自从AppleJeus行动发布以来,拉撒路在攻击方面更加谨慎,并采取了多种方法来避免被发现。我们在英国,波兰,俄罗斯和中国确定了几名受害者。此外,我们能够确认一些受害者与加密货币组织有关。

 

《漫游螳螂》是一名出于经济动机的演员,于2017年首次报道,当时该公司使用SMS将其恶意软件分发给位于韩国的Android设备。自那时以来,该小组的活动范围已大大扩展,支持27种语言,以iOS和Android为目标,甚至挖掘加密货币。这位演员还向其武器库中添加了新的恶意软件家族,包括Fakecop和Wroba.j,并且仍在使用“ SMiShing ”进行Android恶意软件分发。在最近的一项活动中,它分发了伪装成受欢迎的快递公司的恶意APK,并针对包括日本,台湾,韩国和俄罗斯在内的目标国家/地区进行了定制。

 

其他有趣的发现

 

TransparentTribe于2019年初开始使用名为USBWorm的新模块,并对其名为CrimsonRAT的自定义.NET工具进行了改进。根据我们的遥测技术,USBWorm被用来感染成千上万的受害者,其中大多数位于阿富汗和印度,使攻击者能够下载和执行任意文件,传播到可移动设备并从受感染的主机(甚至是那些主机)窃取感兴趣的文件与互联网断开连接。正如我们之前报道的那样,该小组主要关注军事目标,这些目标通常受到配备了恶意VBA和Peppy RAT和CrimsonRAT等开源恶意软件的Office文档的攻击。在仍在进行中的新活动中,我们注意到该小组的重点更多地转向了针对印度以外的阿富汗实体。

 

在2019年的最后几个月中,我们观察到了Fishing Elephant正在进行的一项运动。该小组继续使用Heroku和Dropbox来交付其选择的工具AresRAT。我们发现,参与者在其操作中采用了一项新技术,该技术旨在阻止手动和自动分析-围栅和将可执行文件隐藏在证书文件中。在我们的研究过程中,我们还发现受害者的变化可能反映了威胁行为者的当前利益:该组织的目标是土耳其,巴基斯坦,孟加拉国,乌克兰和中国的政府和外交实体。

 

最后的想法

 

尽管威胁形势并不总是充满“突破性”事件,但当我们将目光投向APT威胁行为者的活动时,总是会有有趣的发展。我们的定期季度审查旨在强调关键的发展。

 

这些是到目前为止我们今年已经看到的一些主要趋势。

 

 

总而言之,我们看到了亚洲活动的持续增长,以及现在我们被称为新来者的一些参与者是如何建立的。另一方面,更传统的高级演员似乎在操作上越来越挑剔,可能是随着范式的改变。使用移动平台感染和传播恶意软件的趋势正在上升。每个演员似乎在这些平台上都有一些人工制品,在某些竞选活动中,它们是主要目标。

 

目前,COVID-19显然是每个人的脑海,而APT威胁参与者也一直在尝试在鱼叉式网络钓鱼活动中利用这一主题。我们认为这并不代表TTP发生了有意义的变化:他们只是将其用作具有新闻价值的话题来吸引受害者。但是,我们正在密切监视局势。

 

与往常一样,我们会注意到我们的报告是我们对威胁态势的可见性的产物。但是,应该牢记的是,尽管我们努力不断改进,但总有其他复杂的攻击可能在我们的雷达下进行。

0 0 vote
Article Rating

未经允许不得转载:x-sec » 2020年第一季度APT趋势报告

赞 (0) 打赏

This site uses Akismet to reduce spam. Learn how your comment data is processed.

0 Comments
Inline Feedbacks
View all comments

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏

0
Would love your thoughts, please comment.x
()
x