首頁 > 安全研究 > 安全通報 > 安全通告

卡巴斯基 | 2020年Q1 APT趨勢報告

發布時間 2020-05-01

卡巴斯基發布2020年第一季度的APT組織活動的趨勢報告,主要說明重大的APT活動以及研究發現。


0x00 COVID-19 APT活動


自世界衛生組織(WHO)宣布COVID-19成為瘟疫以來,這一話題已受到不同攻擊者越來越多的關注。許多網絡釣魚詐騙都是由網絡犯罪分子發起的,他們試圖利用人們對病毒的恐懼來獲利。但是,攻擊者列表中還包括APT組織,例如Kimsuky,APT27,Lazarus或ViciousPanda,根據OSINT,他們以COVID-19作為誘餌瞄準受害者。我們最近發現了可疑的基礎設施可用于針對包括WHO在內的衛生和人道主義組織。據一些私人消息來源稱,盡管基礎設施目前無法歸因于任何特定的組織,并且已在2019年6月COVID-19危機之前注冊,但它可能與DarkHotel有關。但是,我們目前無法確認此信息。有趣的是,一些組織利用當前情況來宣布他們在危機期間不會針對衛生組織。


0x01 最值得注意的趨勢


2020年1月,我們發現一個水坑攻擊利用完全的遠程iOS漏洞。這個網站的目的是根據目標網頁的內容來定位中國香港的用戶。雖然當前正在使用的漏洞利用程序是已知的,但負責人員正在積極修改漏洞利用工具包,以針對更多的iOS版本和設備。我們在2月7日觀察到了最新的版本。該項目比我們最初想象的要廣泛,它支持Android植入,并且可能支持Windows,Linux和MacOS的植入。目前,我們將此APT組織稱為TwoSail Junk。我們認為這是一個中文組織,它主要在中國香港維護基礎設施,并在新加坡和上海設有幾個主機。TwoSail Junk通過在論壇發布鏈接或創建自己的新主題來將訪問者引導至其利用站點。至今,記錄了來自中國香港的數十次訪問,其中一對來自中國澳門。


0x02 俄語相關的APT組織活動


1月,在一家東歐電信公司中發現了幾個最近編譯的SPLM/XAgent模塊。最初的進入點是未知的,它們在該組織內的橫向運動也是未知的。與過去的Sofacy活動水平相比,幾乎無法識別SPLM感染,因此似乎該公司內網可能已經感染了一段時間。除了這些SPLM模塊之外,Sofacy還部署了.NET XTUNNEL變體及其加載程序。與過去的XTUNNEL樣本(重量為1-2MB)相比,這些20KB的XTUNNEL樣本本身似乎很少。long-standing Sofacy XTunnel代碼庫向C#的轉變使我們想起Zebrocy重新編碼和使用多種語言來創新長期使用的模塊的做法。


Gamaredon是一個知名的APT組織,至少從2013年開始活躍,攻擊目標主要針對烏克蘭。近幾個月來,我們發現了一個攻擊活動,攻擊者通過遠程模板注入發送惡意文檔,從而部署惡意加載程序,該加載程序會定期與遠程C2聯系以下載其他樣本。根據之前的研究,Gamaredon的工具包包含許多不同的惡意軟件,用于實現不同的目標。其中包括掃描驅動器中的特定系統文件,捕獲屏幕快照,執行遠程命令,下載其他文件以及使用UltraVNC等程序管理遠程計算機。在這種情況下,我們觀察到一個有趣的新的第二階段payload,其具有傳播功能,我們稱之為“Aversome infector”。該惡意軟件可在目標網絡中保持持久性,并通過橫向移動感染外部驅動器上的Microsoft Word和Excel文檔。


0x03 中文相關的 APT 組織活動


CactusPete是一個與中文相關的網絡間諜組織,至少從2012年開始活躍,其特征是具有中等水平的技術能力。從歷史上看,攻擊目標主要針對韓國,日本,美國和中國臺灣等少數國家/地區的組織。在2019年底,該組織似乎轉向關注蒙古和俄羅斯,并使用蒙古語編寫了一個誘餌攻擊文檔可釋放Flapjack后門(tmplogon.exe,主要針對新的俄羅斯目標)??梢娫摻M織拓展了技術范圍,并且使用的資源和方法也發生了變化。


自2018年以來,Rancor是一個已經公開報道的組織,與DragonOK有關聯。攻擊目標專注于東南亞,即柬埔寨,越南和新加坡。我們注意到該組織在過去幾個月中的活動有幾處更新,發現了Dudell惡意軟件的新變種ExDudell,ExDudell可以繞過UAC(用戶帳戶控制)并且用于攻擊的新的基礎架構。除此之外,我們還確定了以前通過郵件發送的初始誘餌文檔現在可在Telegram Desktop目錄中找到,這表明該組織可能正在改變其初始投遞方式。


在2019年,我們檢測到一個未知組織的活動,當時是在代表藏族利益的網站上的水坑攻擊活動,欺騙受害者安裝在GitHub存儲庫上托管的假Adobe Flash更新??ò退够ㄟ^與GitHub合作來防御攻擊。沒過多久,我們又檢測到新一輪水坑攻擊。我們決定將此活動的組織命名為“Holy Water”。


自成立之日起,攻擊者簡單而富有創意的工具就在不斷開發和更新中,并利用了Sojson混淆,NSIS安裝程序,Python,開源代碼,GitHub發行版,Go語言以及Google Drive等技術手段。


0x04 中東地區的 APT 活動


我們最近在2020年2月檢測到了StrongPity組織針對土耳其的數據泄露活動。盡管StrongPity的TTP在目標,基礎設施和感染媒介方面沒有改變,但我們觀察到他們試圖泄露的文件有所不同。在此活動中,StrongPity更新了最新的簽名后門,名為StrongPity2,并添加了更多文件以植入其常見的Office和PDF文檔列表,包括用于希伯來點綴的Dagesh Pro字處理器文件,用于河流流量和橋梁建模的RiverCAD文件,純文本文件,歸檔文件以及GPG加密文件和PGP密鑰。


3月,我們發現了WildPressure組織針對工業領域分發Milum木馬的活動,旨在對目標組織中的設備進行遠程控制。該活動最初可以追溯到2019年8月。到目前為止,我們看到的Milum示例與任何已知的APT活動沒有任何代碼相似性。該惡意軟件使攻擊者可以遠程控制受感染的設備,允許下載和執行命令,收集和泄露信息以及在惡意軟件中安裝升級程序。


在2019年12月下旬,卡巴斯基Threat Attribution Engine檢測到Zerocleare的新變體Dustman,被用于針對沙特阿拉伯能源部門的攻擊。在擦除和分發方面,它與Zerocleare相似,但是變量和技術名稱的變化表明,這可能已經準備好迎接針對惡意軟件的新一波攻擊,這些攻擊基于嵌入在惡意軟件中的消息和創建的互斥體,專門針對沙特阿拉伯的能源部門。通過它。有關Dustman的PDB文件表明,該破壞性代碼是發行版,可以在目標網絡中部署。這些變化恰逢新年假期,在此期間許多員工正在休假。


0x05 東南亞和朝鮮半島的APT活動


意大利安全公司Telsy在2019年11月概述了Lazarus組織的活動,使我們能夠將針對加密貨幣業務的先前活動聯系起來。Telsy博客上提到的惡意軟件是第一階段下載程序,自2018年中以來一直被觀察到。我們發現第二階段惡意軟件是Manuscrypt的變體,它是Lazarus的獨有屬性,其部署了兩種類型的payload。第一個是可操縱的Ultra VNC程序,第二個是多級后門程序。這種類型的多階段感染過程是Lazarus組織惡意軟件的典型特征,尤其是使用Manuscrypt變體。在此活動中,Lazarus組織攻擊了塞浦路斯,美國,中國臺灣和中國香港的加密貨幣業務,該活動一直持續到2020年初。


自2013年以來我們一直跟蹤的組織Kimsuky在2019年尤其活躍。12月,微軟撤銷了該組織使用的50個域,并在弗吉尼亞州法院對攻擊者提起了訴訟。但是,該小組繼續開展活動,沒有發生重大變化。我們最近發現了一個新的活動,其中使用了以新年問候為主題的誘餌圖片,該圖片為舊下載工具提供了新的經過改進的下一階段payload,旨在利用新的加密方法來竊取信息。


1月底,我們發現了利用Internet Explorer漏洞(CVE-2019-1367)的惡意腳本。在仔細檢查payload并發現與先前活動的聯系之后,我們得出結論,DarkHotel支持此活動,該活動可能自2018年以來一直在進行。該活動看到DarkHotel利用開發的軟件實現了多階段二進制感染。最初的感染會創建一個下載程序,該下載程序將獲取另一個下載程序以收集系統信息,并僅為高價值受害者獲取最終的后門程序。DarkHotel在此活動中使用了TTP的獨特組合。威脅者使用各種基礎結構來托管惡意軟件并控制受感染的受害者,包括受感染的Web服務器,商業托管服務,免費托管服務和免費源代碼跟蹤系統。


3月,來自Google的研究人員透露,一組黑客在2019年使用了五個0day攻擊目標針對朝鮮人和以朝鮮人為中心的專業人員。該小組利用Internet Explorer,Chrome和Windows中的漏洞來進行網絡釣魚和分發電子郵件,這些電子郵件中包含惡意附件或與惡意鏈接以及水坑攻擊。我們能夠將其中的兩個漏洞分別為IE中的一個漏洞和Windows中的一個漏洞與DarkHotel組織匹配上。


FunnyDream組織活動始于2018年中,針對馬來西亞,中國臺灣和菲律賓的知名組織,其中大多數受害者來自越南。分析表明,這只是一項更廣泛攻擊活動的一部分,該活動可以追溯到幾年前,并針對東南亞國家的政府特別是外國組織。攻擊者的后門從C2下載文件和向C2上傳文件,執行命令并在受害者系統中運行新進程。它還收集有關網絡上其他主機的信息,并通過遠程執行應用程序將其傳遞給新主機。攻擊者還使用了RTL后門和Chinoxy后門。自2018年年中以來,C2基礎設施一直處于活躍狀態,并且domains與FFRAT惡意軟件家族重疊。


Operation AppleJeus是Lazarus最有影響力的活動之一,主要利用MacOS惡意軟件進行攻擊。1月份的后續研究揭示了該組織攻擊方法的重大變化:新開發的macOS惡意軟件和一種身份驗證機制,可以謹慎地交付下一階段的payload,以及在不接觸磁盤的情況下加載下一階段的payload。為了攻擊Windows受害者,該組織制定了一個多階段感染程序并更改了最終payload。我們認為,自從AppleJeus活動以來,Lazarus在攻擊方面更加謹慎,并采取了多種方法來避免被發現。我們在英國,波蘭,俄羅斯和中國確定了幾名受害者。此外,我們能夠確認一些受害者與加密貨幣組織有關。


Roaming Mantis是一個出于經濟動機的APT組織,于2017年首次報道,當時該公司使用SMS將其惡意軟件分發給位于韓國的Android設備。后來該組織的活動范圍擴大,支持27種語言,以iOS和Android為目標,甚至挖掘加密貨幣。該組織還使用了新的惡意軟件家族,包括Fakecop和Wroba.j,并且仍在使用“SMiShing”進行Android惡意軟件分發。在最近的一項活動中,它分發了偽裝成受歡迎的快遞公司的惡意APK,主要針對日本,中國臺灣,韓國和俄羅斯。


0x06 其它


TransparentTribe于2019年初開始使用名為USBWorm的新模塊,并對其名為CrimsonRAT的自定義.NET工具進行了改進。根據我們的遙測發現,USBWorm被用來感染成千上萬的受害者,其中大多數位于阿富汗和印度,使攻擊者能夠下載和執行任意文件,傳播到可移動設備并從受感染的主機竊取感興趣的文件。正如我們之前報道的那樣,該小組主要關注軍事目標,這些目標通常受到Office文檔中惡意VBA和Peppy RAT、CrimsonRAT等開源惡意軟件的攻擊。最近的新活動中,我們注意到該小組的重點更多地轉向了針對印度以外的阿富汗。


在2019年的最后幾個月中,我們觀察到了Fishing Elephant正在進行的一項活動。該小組繼續使用Heroku和Dropbox來交付其選擇的工具AresRAT。我們發現,參與者在其操作中采用了一項新技術,該技術旨在阻止手動和自動分析geo-fencing和將可執行文件隱藏在證書文件中。在我們的研究過程中,我們還發現受害者的變化可能反映了攻擊者的當前利益,該組織的目標是土耳其,巴基斯坦,孟加拉國,烏克蘭和中國的政府和外交機構。


0x07 結語


盡管威脅形勢并不總是充滿“突破性”事件,但當我們將目光投向APT威脅行為者的活動時,總是會有有趣的發展。我們的定期季度審查旨在強調關鍵的發展。


這些是到目前為止我們今年已經看到的一些主要趨勢。

● 地緣政治仍然是APT活動的主要助推力。

● Lazarus和Roaming Mantis的活動證明,經濟利益仍然是某些攻擊者的動機。

● 就APT活動而言,東南亞是最活躍的地區,包括Lazarus,DarkHotel和Kimsuky等組織,以及Cloud Snooper和Fishing Elephant等新興組織。

● APT組織,例如CactusPete,TwoSail Junk,FunnyDream和DarkHotel,繼續利用軟件漏洞。

● APT組織繼續將mobile implants納入其武器庫。

● APT組織(例如但不限于Kimsuky,Hades和DarkHotel)以及機會主義罪犯正在利用COVID-19。


總而言之,我們看到了亞洲攻擊活動的持續增長,使用移動平臺感染和傳播惡意軟件的趨勢正在上升。


目前,COVID-19受到每個人的關注,而APT組織也一直在嘗試在魚叉式網絡釣魚活動中利用這一主題。我們認為這并不代表TTP發生了有意義的變化:他們只是將其用作具有新聞價值的話題來吸引受害者。但是,我們正在密切監視局勢。


0x08 參考鏈接


https://securelist.com/apt-trends-report-q1-2020/96826/


0x09 時間線


2020-05-01  VSRC發布報告








上一篇 下一篇