2021第一季度APT攻击趋势分析(上)
卡巴斯基全球研究与分析团队(GReAT)四年来一直都在持续关注并发布关于高级持续攻击(APT)活动的季度报告。这些报告是基于研究人员的持续攻击情报分析,本文会对相关的发现做更详细和细致的研究。 APT的攻击趋势分析 去年12月,著名的IT托管服务提供商SolarWinds遭受了复杂的供应链攻击。该公司的Orion IT(一种用于监视和管理客户的IT基础架构的解决方案)遭到了攻击。这导致在北美、欧洲、中东和亚洲的18000多个SolarWinds客户网络(包括许多大型公司和政府机构)上被部署了名为Sunburst的自定义后门。在有关Sunburst的初始报告中,研究人员仔细检查了该恶意程序用于与其C2(命令和控制)服务器通信的方法以及用于升级对受害者以进一步利用的攻击方法。对Sunburst后门的进一步调查显示,一些功能与先前确定的后门——Kazuar有重叠之处,Kazuar于2017年首次被发现,有人认为与Turla APT组织有关。 Sunburst和Kazuar之间的共享功能包括受害者UID生成算法,其算法中的代码相似性以及FNV1a哈希广泛用于混淆字符串比较的功能。有几种可能性:...
