2020年第三季度APT攻击趋势分析(下)
接上文:《2020年第三季度APT攻击趋势分析(上)》
中东地区的攻击活动
今年6月,卡巴斯基观察到MuddyWater APT小组的新活动,包括使用一组新的工具,这些工具构成了加载恶意程序模块的多级框架。该框架的某些组件利用代码与C2进行通信,这与卡巴斯基在今年早些时候的MoriAgent恶意程序中观察到的代码相同。
因此,卡巴斯基决定将新的框架命名为MementoMori。新框架的目的是为了进一步促进内存中PowerShell或DLL模块的执行。目前卡巴斯基已经发现了来自土耳其、埃及和阿塞拜疆的受害者。
东南亚和朝鲜半岛地区的攻击活动
今年5月,卡巴斯基发现了属于Dtrack家族的一个新样本,第一个示例名为Valefor,是Dtrack RAT的更新版本,其中包含了一个新功能,使攻击者能够执行更多类型的有效载荷。第二个示例是一个名为Camio的键盘记录程序,它是其键盘记录程序的更新版本。这个新版本更新了日志信息及其存储机制,卡巴斯基观察到的迹象表明这些恶意程序程序是为特定受害者量身定制的,目前发现的受害者在日本。
自去年12月以来,卡巴斯基一直在追踪LODEINFO,一种用于定向攻击的无文件恶意程序。在此期间,卡巴斯基观察了几个版本的开发者开发的恶意程序。5月,卡巴斯基检测到针对日本外交组织的v0.3.6版本。之后不久,卡巴斯基也检测到v0.3.8。卡巴斯基的调查揭示了攻击者在横向移动阶段的操作方式:在获得所需数据之后,攻击者将删除其攻击痕迹。卡巴斯基的报告包括了对恶意程序LODEINFO的技术分析,以及受害者网络中的攻击序列,以揭示攻击者的策略和方法。
在跟踪“ Transparent Tribe”的活动时,卡巴斯基发现了这个APT攻击者使用的一个有趣的工具:用于管理CrimsonRAT木马的服务器组件。卡巴斯基找到了这个程序的不同版本,这让卡巴斯基能够从攻击者的角度来看这个恶意程序。它显示了该工具的主要目的是窃取文件,给出了它用于探索远程文件系统和使用特定过滤器收集文件的功能。
Transparent Tribe(又名PROJECTM和MYTHIC LEOPARD)是一个非常多产的APT团体,最近几个月又增加了其活动的范围。最近卡巴斯基又发现了一个与“CrimsonRAT木马相关的活动https://securelist.com/transparent-tribe-part-1/98127/,卡巴斯基迅速分析了服务器组件,并首次看到了USBWorm组件的使用。另外卡巴斯基还发现了一种用于针对印度军事人员的木马程序。这一发现也证实了在以前的调查中已经发现的许多信息,同时也证实了CrimsonRAT https://securelist.com/transparent-tribe-part-2/98233/仍在积极开发中。
今年4月,卡巴斯基根据构建路径和内部文件名发现了一种名为CRAT的新型恶意程序,该恶意程序使用武器化的韩文文档以及特洛伊木马程序和战略性网络攻击进行传播。自发现以来,后门功能经过多次迭代,功能齐全已经非常齐全,并分为多个攻击模块课。有一个下载程序将CRAT传播给受害人,然后是名为Orchestration Crat的下一阶段的Orchestrator恶意程序:该Orchestrator加载了用于间谍活动的各种插件,包括键盘记录、屏幕捕获和剪贴板窃取。
在卡巴斯基的调查中,卡巴斯基发现了与ScarCruft和Lazarus的一些弱连接:卡巴斯基发现该恶意程序中的几条调试消息与ScarCruft恶意程序具有相似的模式,以及某些代码模式和Lazarus C2基础结构的命名。
今年6月,卡巴斯基观察到一组新的恶意Android下载程序,根据卡巴斯基的跟踪分析,这些下载程序至少从2019年12月起就在野外被积极使用,并且攻击目标完全针对巴基斯坦。它的开发者使用Kotlin编程语言和Firebase消息传递系统进行下载,模仿了Chat Lite、Kashmir News Service和其他合法的地区性Android应用程序。
国家电信和信息技术安全委员会(NTISB)于1月发布的一份报告描述了共享相同C2并欺骗相同合法应用程序的恶意程序。该报告提到,攻击者的目标是巴基斯坦军事机构,攻击者使用WhatsApp消息、短信、电子邮件和社交媒体作为初始感染媒介。卡巴斯基的研究也显示,该恶意程序还通过Telegram Messenger传播。通过对初始下载程序集的分析,卡巴斯基可以找到卡巴斯基认为密切相关的另一组特洛伊木马,因为它们使用下载程序中提到的程序包名称并专注于相同的目标,这些新样本与以前归因于Origami Elephant组织开发的恶意软件的代码具有很高的相似性。
在7月中旬,卡巴斯基观察到一个东南亚政府组织被一个未知的攻击者盯上了,该攻击者使用了一个包含多层恶意RAR可执行程序包的恶意ZIP包。在其中一起事件中,压缩包的主题是关于新冠疫情的。卡巴斯基相信,同一个组织可能也是政府网络服务器漏洞的相同目标,在7月初被攻破,并为高度相似的恶意LNK提供服务。就像卡巴斯基过去看到的针对特定国家的其他行动一样,这些攻击者正在采取长期的、多管齐下的方法来破坏目标系统,而不使用零日攻击。
值得注意的是,另一个小组(可能是OceanLotus)除了使用Cobalt Strike之外,还在一个月左右的时间内以COVID-19主题的恶意LNK对类似的政府目标使用了类似的Telegram传播技术,并将其恶意程序植入了相同的政府目标。
今年5月,卡巴斯基就阻止了一次针对一家韩国公司的恶意Internet Explorer脚本攻击。分析显示,该攻击使用了以前不知道的全链攻击,包括两个零日攻击:针对Internet Explorer的远程代码执行攻击和针对Windows的权限提升攻击。与卡巴斯基在WizardOpium活动
https://securelist.com/windows-0-day-exploit-cve-2019-1458-used-in-operation-wizardopium/95432/中使用的先前完整链不同,新的完整链针对的是Windows 10的最新版本,而卡巴斯基的测试表明可以可靠地利用Internet Explorer 11和Windows 10的版本18363 x64。6月8日,卡巴斯基向微软报告了卡巴斯基的发现,后者证实了这些漏洞。
在卡巴斯基提交报告的时候,微软的安全团队已经为CVE-2020-0986漏洞准备好了补丁,该漏洞被用于零日升级权限利用;但是在卡巴斯基发现之前,人们认为该漏洞的利用可能性较小, CVE-2020-0986的补丁于6月9日发布。微软将JScript中的use-after-free漏洞分配为CVE-2020-1380,并于8月11日发布了针对该漏洞的补丁。卡巴斯基将这些相关攻击行动称为PowerFall。目前,卡巴斯基还不能确定是哪个组织发起了这些攻击,但由于与之前发现的漏洞相似,卡巴斯基相信DarkHotel可能是这次攻击的幕后黑手。
7月22日,卡巴斯基在VirusTotal网站上发现了一个来自意大利的可疑档案,该文件似乎是一个包含恶意脚本、访问日志、恶意文档文件和几个与安全解决方案检测到的可疑文件相关的屏幕截图的分类。在调查了这些恶意文档文件后,卡巴斯基发现它们与6月份报道的拉撒路集团(Lazarus group)活动有关。
这场被称为“DeathNote”的攻击活动,目标是汽车工业和学术领域的个人,使用包含航空航天和国防相关职位描述的引诱文件。卡巴斯基确信,这些文件与最近报道的针对以色列国防制造商的攻击有关。截至目前,卡巴斯基已经发现了webshell脚本、C2服务器脚本和恶意文档,并确定了与受感染的C2服务器连接的几名受害者,并发现了用于访问C2服务器的方法。
今年3月,卡巴斯基就已经观察到APT组织SideWinder的攻击活动,且攻击者使用了五种不同的恶意程序类型。目前研发者已经连续对其最终有效载荷进行了修改,并继续利用新冠疫情等当前热门话题发起鱼叉式网络钓鱼活动,其主要目标是针对政府、外交和军事机构。而感染机制仍然与以前一样,包括SideWinder利用选择CVE-2017-1182和使用DotNetToJScript工具部署最后的有效载荷,但卡巴斯基发现该组织还使用了包含Microsoft编译的HTML帮助的ZIP文件,该文件可以下载最后阶段的有效载荷。除了现有的基于.NET的植入程序(卡巴斯基称为SystemApp)之外,网络攻击者还向其武器库中添加了JS Orchestrator,Rover / Scout后门以及AsyncRAT,warzoneRAT的修改版。
其他有趣的发现
很多情况下研究人员是无法调查到所发现APT组织幕后团队的,比如在调查一项正在进行的活动时,卡巴斯基发现了一种正在开发的新型Android植入程序,与任何已知的Android恶意程序没有明显的联系。该恶意程序能够监控和窃取通话记录、短信、音频、视频和非媒体文件,以及识别感染设备的信息。它还实现了一个有趣的功能,即收集使用“traceroute”命令和使用本地ARP缓存获得的网络路由和拓扑信息。
在此调查过程中,卡巴斯基发现了一堆类似的Android信息窃取器植入程序,其中一个示例被混淆处理了。另外卡巴斯基还发现了更像后门的更老的Android恶意程序,其踪迹可以追溯到2019年8月。
早在今年4月,Cisco Talos就发现了一名身份不明的黑客使用名为“PoetRAT”的新型恶意程序,该攻击专门针对阿塞拜疆政府和能源部门。在与卡巴斯基ICS CERT的合作中,卡巴斯基确定了相关恶意程序和文件的补充样本,这些恶意程序和文件的目标是阿塞拜疆的多所大学、政府、工业组织以及能源部门机构。该攻击于2019年11月初开始,不过在思科Talos报告发布后,攻击者立即关闭了该攻击的基础设施。从那以后,就再也没有发现新的相关文件或PoetRAT样本。
卡巴斯基观察到该恶意程序与Turla的代码有一些重叠,但由于没有技术上可靠的证据证明他们之间的关系,而且卡巴斯基也不能把这种新的活动归因于任何其他已知的攻击者,所卡巴斯基把它命名为Obsidian Gargoyle。Turla被认为是历史上最复杂的APT(高级持续性威胁)间谍软件。目标为政府机构、大使馆、军事组织、研究和教育组织以及制药企业。Turla组织的攻击活动包括了许多影响一时的大事件,比如2008年攻击美国中央司令部,也就是Buckshot Yankee事件——指的是黑客用一个名叫agent.btz的恶意软件通过某U盘被上传至五角大楼的军事网络系统之中。另外一个事件就是2016年对瑞士军工企业RUAG集团发动攻击,黑客采用了网络间谍软件Turla,木马程序以及Rootkit恶意软件相结合。
此外Turla组织还针对乌克兰,欧盟相关机构,欧盟各国政府,各个国家的大使馆,媒体、研究和教育组织以及制药、军工企业,其利用卫星通信固有的安全缺陷隐藏C&C服务器位置和控制中心。Turla组织也被称为Snake 、 Uroburos 、 Venomous Bear或是KRYPTON,是至今为止最为高级的威胁组织之一。
总结
不管APT组织使用的钓鱼技术如何变化,攻击者在一段时间内使用的钓鱼话题都是一样的,比如疫情期间他们使用新冠疫情这样的热门话题吸引用户下载并执行恶意鱼叉式网络钓鱼邮件的附件。而在技术开发上APT组织则不断进行技术迭代,开发新工具集和扩大他们的活动的范围,比如开发新平台吸收更多参与者进来。虽然一些APT组织开发了非常复杂的工具,例如MosiacRegressor UEFI植入程序,但其他网络攻击者在使用基本TTP方面也取得了巨大成功。根据卡巴斯基的说法,UEFI是固件接口,是BIOS的替代品,可提高安全性,确保没有恶意软件篡改引导过程。因为UEFI有助于加载操作系统本身,所以这种感染可以抵抗OS重新安装或更换硬盘驱动器。根据卡巴斯基的说法,这些恶意UEFI固件映像被修改为包含几个恶意模块,然后这些模块被用来在受害者计算机上投放恶意软件,这些模块针对来自非洲、亚洲和欧洲的外交官和非政府组织成员发动了一系列有针对性的网络攻击。
以下是卡巴斯基在2020年第三季度看到的主要APT攻击趋势:
- 地缘政治继续推动着许多APT运动的发展,正如卡巴斯基在最近几个月看到的Transparent Tribe, Sidewinder, Origami Elephant 和 MosaicRegressor,的活动。
- 金融部门一直是攻击的重点目标,DeathStalker的活动就是一个最近的例子。
- 卡巴斯基将继续通过最近的示例(包括Transparent Tribe 和 Origami Elephant.)观察在APT攻击中使用移动植入程序的情况。
- 尽管APT网络攻击行动者在全球范围内活跃,但最近的活动热点是东南亚、中东和华语地区。
- 本季度包括WellMess和Sidewinder在内的APT组织都是以新冠话题为幌子发起攻击的。
- 本季度最有趣的APT组织是DeathStalker和MosaicRegressor:前者强调了APT小组无需开发高度复杂的工具即可实现目标的事实,后者代表了恶意程序开发的前沿技术。
