更有有针对性的攻击

与Cycldek有关的攻击

卡巴斯基实验室的研究人员4月份发现了一个名为“FoundCore”的文件，该恶意软件样本是在针对位于越南的知名组织的攻击中发现的，经过分析，它的攻击功能相较于“DLL侧加载三步法”有了很大的改进，所谓的“DLL侧加载三步法”就是合法的可执行文件、由它侧加载的恶意 DLL 和编码的有效载荷，通常在自解压文件中自行执行删除程序。

在这个示例中，shellcode被严重混淆了。研究人员发现这个文件的加载程序非常有趣，所以研究人员决定将研究人员的目标恶意软件逆向工程课程的一个轨道基于它。

最终的有效载荷是一个远程管理工具，它可以让操作员实现对受害计算机的完全控制。与服务器的通信可以通过使用 RC4 加密的原始 TCP 套接字或通过 HTTPS 进行。

在研究人员发现的绝大多数攻击示例中，FoundCore 执行之前都会打开从 static.phongay[.]com 下载的恶意 RTF 文件，所有这些文件都是使用 RoyalRoad 生成的，并试图利用 CVE-2018-0802。所有这些文件都是空白的，这表明存在着前置文件(可能是通过鱼叉式网络钓鱼或以前的感染方式传播的)，它们触发了RTF文件的下载。成功的漏洞利用导致攻击者进一步部署名为DropPhone和CoreLoader的恶意软件。

研究人员的追踪分析数据显示，，已有数十个组织受到影响，这些组织属于政府或军事部门，或其他与卫生、外交、教育或政治垂直领域有关的组织。80%的目标在越南，其余地分布在中亚和泰国。

在野外使用的Windows的桌面管理器漏洞

在分析CVE-2021-1732漏洞时，研究人员发现了另一个零日漏洞。该漏洞首先由DBAPPSecurity Threat Intelligence Center发现，并被BITTER APT组织使用。研究人员在2月份向微软报告了这个新的漏洞，在确认它确实是一个零日漏洞后，微软发布了一个针对新的零日漏洞的补丁(CVE-2021-28310)，作为其4月份安全更新的一部分。

CVE-2021-28310是桌面窗口管理器(dwm.exe)中的dwmcore.dll中的一个越界 (OOB) 写入漏洞。由于缺乏边界检查，攻击者能够创建一种情况，允许他们使用DirectComposition API以受控偏移量写入受控数据。DirectComposition是一个Windows组件，在Windows 8中引入，以支持转换、效果和动画的位图合成，并支持不同来源(GDI、DirectX 等)的位图。

该漏洞最初是由卡巴斯基的漏洞预防技术和相关检测记录识别的，在过去几年中，卡巴斯基在其产品中构建了多种漏洞利用保护技术，这些技术已检测到多个零日漏洞，并一次又一次地证明了它们的有效性。

研究人员认为这个漏洞可能已经被一些潜在的攻击者广泛使用，并且它可能与其他浏览器漏洞一起使用，以逃离沙箱或获得系统权限以进行进一步访问。

TunnelSnake活动

Windows rootkit，特别是那些在内核空间操作的rootkit，在系统中享有很高的权限，允许它们拦截和默默篡改底层操作系统进行的核心I/O操作，比如读取或写入文件，或处理传出网络数据包。它们能够融入操作系统本身的结构，这就是rootkit如何获得隐身和逃避的原因。然而，随着时间的推移，在Windows中部署和执行rootkit组件变得越来越困难。微软引入的驱动程序签名执行和内核补丁保护(PatchGuard)使得篡改系统变得更加困难。因此，市面上的Windows rootkit数量急剧下降，大多数仍然活跃的rootkit经常被用于APT攻击。

而名为TunnelSnake的活动，rootkit在攻击中就很少被使用到。攻击者的目标主要是是东南亚和非洲的外交组织，针对这些目标可以在外部访问到的主机进行攻击，成功部署了Moriya rootkit，由于微软引入了驱动强制签名以及补丁检测机制。Moriya是一个被动后门，被部署到外部可以访问到的服务器上，通过安装WFP过滤驱动检查所有传入受感染机器的流量，取出带有特征字符串的流量包进行响应，因此它不包含硬编码的C2地址，这使得对攻击者的溯源难以进行。同时，Moriya在内核层网络堆栈处理数据包之前截获它们，也使得安全检测难以发现它们。Moriya被用来在面向公众的服务器上部署被动后门，建一个隐蔽的C2(命令和控制)通信通道，默默地控制着恶意软件的行为。

该rootkit早在2019年11月就被研究人员发现，经过追踪分析，TunnelSnake至少从2018年以来就一直处于活跃状态。

由于在活动期间附带的 Rootkit 和其他横向移动工具都不依赖于硬编码的 C2 服务器，因此研究人员只能部分了解攻击者的基础设施。然而，除了 Moriya 之外，大部分检测到的工具都包含专有和众所周知的恶意软件，这些恶意软件以前被讲中文的攻击者使用过，这为攻击者的来源提供了线索。

PuzzleMaker

4月14日至15日，研究人员检测到一波针对多家公司的针对性很强的攻击。更详细的分析显示，所有这些攻击利用了谷歌Chrome和微软Windows零日漏洞链。

虽然研究人员无法在Chrome web浏览器中检索用于远程代码执行(RCE)的漏洞，但研究人员能够找到并分析用于逃离沙箱并获得系统权限的升级权限(EoP)漏洞。此EoP漏洞经过微调，可针对Windows 10的最新版本(17763 - RS5, 18362 - 19H1, 18363 - 19H2, 19041 - 20H1, 19042 - 20H2)，并利用Microsoft Windows OS内核中的两个不同的漏洞。

4月20日，研究人员向微软报告了这些漏洞，他们将CVE-2021-31955定性为信息泄漏漏洞，将 CVE-2021-31956 分配给 EoP 漏洞。漏洞利用链试图通过滴管在系统中安装恶意软件，恶意软件以系统服务的形式启动并加载有效载荷，这是一个“远程shell”式的后门，它依次连接到 C2 以获取命令。

研究人员无法找到任何与已知攻击组织的联系或重叠，所以研究人员暂时将此活动命名为PuzzleMaker。

Andariel 在其工具集中添加了勒索软件

今年4月，研究人员发现了一个可疑的Word文件，其中包含一个韩国文件名和上传到VirusTotal的钓鱼网站。该文件包含一个陌生的宏，并使用新技术植入下一个有效载荷。研究人员的分析显示，这些攻击中使用了两种感染方法，且每个有效载荷都有自己的加载器在内存中执行。攻击者只向特定的受害者提供最后阶段的有效载荷。

Malwarebytes发表了一份报告，其中包含了同一系列攻击的技术细节，起初研究人员将其归咎于Lazarus 组织。然而，经过深入分析，研究人员得出的结论是，攻击是Andariel组织(Lazarus的下属组织)发起的。

从历史上看，Andariel 主要针对韩国的组织，这次活动中也是如此。研究人员确认了制造、家庭网络服务、媒体和建筑行业的几名受害者。

研究人员还发现了与Andariel组织的其他联系，每个攻击者都有一个独特的习惯，当他们在攻击的后利用阶段与后门shell 交互工作时。Windows命令及其选项在这次活动中使用的方式几乎与之前的Andariel活动相同。

值得注意的是，除了最后一个后门外，研究人员还发现一名受害者感染了自定义勒索软件。

Ferocious Kitten

“Ferocious Kitten”是一个APT攻击者，目标似乎在伊朗说波斯语的人，该组织发起的攻击最近才被发现。最近，由于推特上的研究人员将一份诱饵文件上传到VirusTotal上并公开，该攻击才受到了关注。

研究人员能够扩展关于该组织的一些发现，并提供关于它使用的其他变体的分析。被称为“MarkiRAT”的恶意软件从诱饵文件中被释放，记录击键、剪贴板内容，并提供文件下载和上传功能，以及在受害者的电脑上执行任意命令的功能。“Ferocious Kitten”至少从2015年就开始活跃了，旨在劫持Telegram和Chrome应用程序。

其他恶意软件

JSWorm勒索软件的迭代

研究人员最近发布了一个名为JSWorm的勒索软件家族的分析报告，该恶意软件于2019年被发现，从那时起，Nemty、nefilm、Offwhite等变体相继出现。

每个“重新命名”的版本都包含了对代码不同方面的修改，文件扩展名、加密方案、加密密钥、编程语言和发布模型。自出现以来，JSWorm 已经从一个典型的大规模勒索软件威胁发展为主要影响个人用户的软件，已取得利益最大化。

Black Kingdom勒索软件

Black Kingdom于2019年首次被发现，2020年，该组织被发现在攻击中利用如CVE-2019-11510等漏洞。在最近的活动中，在最近的活动中，未知攻击者利用该勒索软件来利用 Microsoft Exchange 漏洞 (CVE-2021-27065，又名 ProxyLogon)。这个勒索软件家族远没有其他的勒索软件即服务(RaaS)复杂。该恶意软件是用Python编写的，并使用PyInstaller编译为可执行文件。该勒索软件支持两种加密模式，一种是动态生成的，另一种使用硬编码密钥。代码分析显示了在硬编码密钥的帮助下恢复被Black Kingdom加密的文件的可能性。在进行分析时，已经有一个脚本可以恢复用嵌入密钥加密的文件。

Black Kingdom 将桌面背景更改为提示系统在加密文件时被感染，同时禁用鼠标和键盘。

在对Python代码进行反编译后，研究人员发现Black Kingdom的代码库起源于GitHub上的一个开源勒索软件构建器。该组织修改了部分代码，添加了最初未在构建器中提供的功能，例如硬编码的密钥。研究人员无法将 Black Kingdom 归因于任何已知的威胁组织。

Gootkit：谨慎的银行木马

Gootkit是一种复杂的多阶段式银行恶意软件，最初是由Doctor Web在2014年发现的。最初，它是通过垃圾邮件和Spelevo和RIG等工具包传播的。在与垃圾邮件活动相结合的情况下，这些攻击者后来转向了那些访问者被诱骗下载恶意软件的受感染网站。

Gootkit 能够从浏览器中窃取数据、执行浏览器中间人攻击、键盘记录、截屏以及许多其他恶意操作。木马的加载程序执行各种虚拟机和沙箱检查，并使用复杂的持久性算法。

2019 年，Gootkit 在经历数据泄露后停止运营，但自 2020 年 11 月以来又活跃起来，大多数受害者位于德国和意大利等欧盟国家。

Bizarro银行木马扩展到欧洲

Bizarro 是另一个起源于巴西的银行木马家族，现在在世界其他地方也有发现。研究人员已经看到有人在西班牙、葡萄牙、法国和意大利被攻击。该恶意软件已被用于窃取来自不同国家的 70 家银行客户的凭据。

Bizarro 是通过受害者从垃圾邮件中的链接下载的 MSI 包传播的。启动后，它会从受感染的网站下载 ZIP 压缩文件。研究人员观察到被黑客攻击的WordPress, Amazon和Azure服务器被木马用来存储档案。该后门是Bizarro的核心组件，包含100多条命令，攻击者可以借此窃取网上银行账户凭证。大多数命令用于显示虚假的弹出消息，并试图欺骗人们输入双因素身份验证码。该木马还可能使用社交工程来说服受害者下载智能手机应用程序。

APKPure 应用中的恶意代码

4 月初，研究人员在 APKPure 应用商店官方客户端的 3.17.18 版本中发现了恶意代码，这是一个流行的 Android 应用替代来源。该情况似乎与 CamScanner 发生的情况类似，当时该应用程序的开发人员从未经验证的来源实施了广告软件 SDK。

启动时， HEUR:Trojan-Dropper.AndroidOS.Triada.ap 的嵌入式木马释放程序会解压缩并运行其有效载荷，该有效载荷能够在锁定屏幕上显示广告、打开浏览器选项卡、收集有关设备，并下载其他恶意代码。下载的木马取决于 Android 版本以及最近安装的安全更新。对于相对较新版本的操作系统(Android 8 或更高版本)，它会为 Triada 木马加载其他模块。如果设备较旧(Android 6 或 7，且未安装安全更新)，则可能是 xHelper 木马。

针对 Apple M1 芯片的恶意软件

去年 11 月，苹果推出了 M1 芯片。这款新芯片已在其多个产品中取代了英特尔处理器，它基于 ARM 架构，而不是传统上用于个人计算机的 x86 架构。这为 Apple 完全切换到自己的处理器并在单一架构下统一其软件奠定了基础。不幸的是，在发布后的几个月，恶意软件的开发者就发布了针对新的处理器的恶意软件。

尝试使用 PHP 进行供应链攻击

今年3月，未知的攻击者试图通过在PHP脚本语言中引入恶意代码来实施供应链攻击。PHP开发人员使用构建在GIT版本控制系统上的公共存储库对代码进行更改。攻击者试图给代码添加一个后门。

本文翻译自：https://securelist.com/it-threat-evolution-q2-2021/103597/

鸿蒙官方战略合作共建――HarmonyOS技术社区