网络安全技术 ·

2020年第三季度APT趋势报告


卡巴斯基全球研究和分析团队(GReAT)在近三年来一直在阶段性的发布APT活动季度摘要。本文作为2020年第三季度的APT趋势报告,基于团队的威胁情报研究,包括在私人APT报告中已发表和更详细讨论过的内容的代表快照。旨在突出重大事件的研究和发现。

01

最显著的发现

在此次报告中,最显著的发现是一个名为DeathStalker的黑客组织,该组织主要对收集律师事务所和金融业公司的敏感业务信息感兴趣。应该是一个提供黑客雇佣服务或者是在金融街充当信息经纪人的雇佣军组织。
GReAT安全团队第一次发现该组织活动是通过名为Powersing的基于PowerShell的植入程序。在这一季度GReAT对该组织基于LNK的Powersing入侵工作流程的线程进行了分解。尽管整个工具集没有开创性的内容,但我们可以通过分析黑客使用的基础技术、感染链等来进行分析,做出措施。
DeathStalker继续开发和使用这种植入物,采用了自2018年以来大体相同的战术,同时做出了更大的努力来逃避检测。在八月黑客组织活动的公开报告总结了该小组使用的三种基于脚本语言的工具链Powersing,Janicab和Evilnum。
在首次公开关于Evilnum的私人报告之后,GReAT在今年6月下旬检测到一批新的植入物,显示出(到目前为止)DeathStalker的相当静态的作案方式发生了有趣的变化。
例如,该恶意软件使用嵌入式IP地址或域名直接连接到C2服务器,而之前的变体使用了至少两个死点解析器(DDR)或Web服务(例如论坛和代码共享平台),以获取实际的C2 IP地址或域。有趣的是,对于此活动,攻击者不仅将自己局限于发送鱼叉式网络钓鱼电子邮件,还通过多封电子邮件积极地与受害者互动,诱使他们打开诱饵,以增加遭受威胁的机会。
此外,除了在整个入侵周期中使用基于Python的植入程序之外,无论新旧版本,GReAT还发现了另一种复杂的,低技术含量的植入物,GReAT将其归因于DeathStalker,具有中等信心。交付工作流使用Microsoft Word文档,并删除以前未知的PowerShell植入程序,该植入程序依赖于HTTPS(DoH)上的DNS作为C2通道。GReAT将这种植入物称为PowerPepper。
在近期针对目标活动的调查中,GReAT发现了一个UEFI固件映像,其中包含恶意组件,这些恶意组件会将以前未知的恶意软件丢弃到磁盘中。分析表明,揭示的固件模块基于名为Vector-EDK的已知引导程序,而丢弃的恶意软件则是其他组件的下载器。通过关注恶意软件的独特特征,从遥测技术中发现了一系列自2017年以来一直用于外交目标的相似样本,它们具有不同的感染媒介。尽管大多数业务逻辑是相同的,但可以看到其中一些具有附加功能或实现方式不同。
因此,推断出大部分样本都来自GReAT称为MosaicRegressor的更大框架。框架某些组件中的代码伪像以及活动期间使用的C2基础结构重叠,表明这些攻击的幕后黑手可能是使用Winnti后门与团体有联系的人。亚洲,欧洲和非洲的目标,外交机构和非政府组织似乎都与朝鲜有某种联系。

02

欧洲方面活动

自发布有关WellMess的初步报告以来(请参阅2020年第二季度APT趋势报告),英国国家网络安全中心(NCSC)已与加拿大和美国政府联合发布了有关WellMess的最新活动的联合技术咨询。
具体来说,三个政府都将针对COVID-19疫苗研究的恶意软件的使用归因于The Dukes(又名APT29和Cozy Bear)。该通报还详细介绍了在此活动中使用的另外两个恶意软件SOREFANG和WellMail。鉴于直接的归因公开声明,咨询中提供的新详细信息以及自进行初步调查以来发现的新信息,GReAT发布了报告,以补充先前对该威胁因素的报告。
尽管NCSC公告的发布提高了公众对这些近期攻击中使用的恶意软件的认识,所有三个国家政府所作的归属声明均未提供清晰的证据,其他研究者也可以继续进行确认。因此,GReAT目前无法修改原始报表;并且仍然评估WellMess活动是由先前未知的威胁参与者进行的。如果发现新的证据,将继续监视新活动,并在将来调整此声明。

03

俄语方面活动

夏季,GReAT发现了一个未知的多模块C ++工具集,该工具集可用于可追溯到2018年的针对性强的工业间谍活动。到目前为止,还没有发现与已知的恶意活动有关代码,基础架构或TTP的相似之处。迄今为止,GReAT认为此工具集及其背后的参与者是一个新的组织。恶意软件作者将工具集命名为MT3,并基于此缩写,我们将工具集命名为 Montys3。
该恶意软件配置为搜索特定的文档类型,包括存储在可移动媒体上的文档类型。它包含正确俄文的自然语言伪像,以及一种配置,该配置寻找仅在Windows的Cyrilic版本中存在的目录,同时提供了一些假旗文物,暗示着说汉语的人。该恶意软件使用合法的云服务(例如Google,Microsoft和Dropbox)进行C2通信。

04

中文方面活动


今年早些时候,GReAT在亚洲和非洲的区域政府间组织网络中发现了一个活跃的,以前未知的隐形植入物,称为Moriya。
通过使用C2服务器建立隐蔽通道并将Shell命令及其输出传递给C2,此工具用于控制那些组织中面向公众的服务器。使用Windows内核模式驱动程序可以简化此功能。使用该工具是GReAT正在进行的名为TunnelSnake的活动的一部分。Rootkit于5月在目标计算机上被检测到,其活动最早可追溯至2019年11月,在最初感染后在网络中持续了几个月。GReAT发现另一个工具显示与此Rootkit的大量代码重叠,这表明开发人员至少自2018年以来一直活跃。
由于在活动期间,rootkit或其他随行的横向移动工具均不依赖于硬编码的C2服务器,因此仅能部分了解攻击者的基础架构。就是说,除了森谷公司以外,大多数检测到的工具都包含专有和知名的恶意软件,这些恶意软件以前由华语威胁参与者使用,从而提供了攻击者出身的线索。
PlugX继续在东南亚和东亚以及非洲得到有效和大量使用,而在欧洲则很少使用。PlugX代码库已被包括HoneyMyte,Cycldek和LuckyMouse在内的多个中文APT组使用。
政府机构,非政府组织和IT服务组织似乎是一致的目标。尽管新的USB传播功能有机会将恶意软件推向整个网络,但受到破坏的MSSP / IT服务组织似乎是定向交付的潜在载体,CobaltStrike安装程序包已推送到多个系统以进行初始PlugX安装。据了解,上季度的大部分活动似乎在蒙古,越南和缅甸进行。这些国家/地区到2020年处理PlugX的系统数量至少为数千。
GReAT还发现了一个持续进行的运动,该运动可以追溯到5月,利用了归因于Ke3chang的Okrum后门的新版本。Okrum的此更新版本使用独特的侧加载技术使用Authenticode签名的Windows Defender二进制文件。攻击者使用隐写术将Defender可执行文件中的主要有效载荷隐藏起来,同时保持其数字签名有效,从而减少了被检测到的机会。以前还没有看到这种方法被广泛用于恶意目的。
目前已经观察到一家位于欧洲的电信公司为此次恶意活动的受害者。9月16日,美国司法部发布了三项有关涉嫌与APT41有关的黑客的起诉书以及其他入侵设备,包括钡(Barium)、温蒂(Winnti)、邪恶熊猫(Wicked Panda)和邪恶蜘蛛(Wicked Spider)。
此外,在美国司法部与马来西亚政府(包括总检察院)合作之后,两名马来西亚国民也于9月14日在实兆远(马来西亚)被捕,罪名是“密谋从针对视频游戏业的计算机入侵中获利”。和马来西亚皇家警察。第一份起诉书称,被告成立了一家名为“白帽子”的精英网络安全公司,名为成都404网络技术有限公司(又名成都思灵思网络技术有限公司),并以其名义从事计算机业务。针对全球数百家公司的入侵。
根据起诉书,他们“使用专门的恶意软件进行了黑客攻击,例如网络安全专家将其命名为“ PlugX / Fast”,“ Winnti / Pasteboy”,“ Shadowpad”,“ Barlaiy / Poison Plug”和“ Crosswalk / ProxIP”的恶意软件。起诉书包含数个间接IoC,使我们可以将这些入侵与“影子基地”行动和“沙多海默”行动联系起来,这是卡巴斯基近年来发现和调查的两次大规模供应链攻击。

05

中东方面活动

6月,GReAT观察到MuddyWater APT小组的新活动,涉及使用一组新工具,这些工具构成了用于加载恶意软件模块的多阶段框架。该框架的某些组件利用代码与C2进行通信,与在今年早些时候的MoriAgent恶意软件中观察到的代码相同。因此,GReAT决定复制新框架MementoMori。新框架的目的是促进执行其他内存内PowerShell或DLL模块。发现了土耳其,埃及和阿塞拜疆的知名受害者。

06

东南亚和朝鲜半岛

5月,GReAT发现了Dtrack家族的新样品。第一个样本名为Valefor,是Dtrack RAT的更新版本,其中包含使攻击者能够执行更多类型的有效负载的新功能。第二个示例是名为Camio的键盘记录程序,它是其键盘记录程序的更新版本。此新版本更新了记录的信息及其存储机制。观察到迹象表明这些恶意软件程序是为特定受害者量身定制的。在进行研究时,发现了位于日本的受害者。
自去年12月以来,GReAT一直在跟踪LODEINFO,这是一种有针对性的攻击所使用的无文件恶意软件。在这段时间内,在作者开发恶意软件时观察到了多个版本。5月,检测到针对日本外交组织的v0.3.6版本。之后不久,也检测到v0.3.8。GReAT的调查揭示了攻击者在横向移动阶段的操作方式:在获得所需数据之后,攻击者将擦除其踪迹。GReAT的私人报告包括对LODEINFO恶意软件的技术分析和受害者网络中的攻击顺序,以揭示参与者的战术和方法。
在跟踪“透明部落”活动时,发现了该APT威胁参与者使用的一个有趣工具:用于管理CrimsonRAT机器人的服务器组件。发现该软件的不同版本,从而使我们能够从攻击者的角度查看恶意软件。它显示出此工具的主要目的是文件窃取,因为它具有探索远程文件系统和使用特定过滤器收集文件的功能。
透明部落(又名PROJECTM和MYTHIC LEOPARD)是一个非常多产的APT组织,最近几个月来其活动有所增加。GReAT报告了一个使用CrimsonRAT工具的新的广泛活动的发起,在该活动中,能够设置和分析服务器组件,并首次看到USBWorm组件的使用。还发现了一种Android植入物,用于瞄准印度的军事人员。这一发现证实了先前调查中已经发现的许多信息。同时也证实了CrimsonRAT仍在积极开发中。
4月,根据构建路径和内部文件名发现了一种名为CRAT的新型恶意软件。该恶意软件使用武器化的韩文文档以及特洛伊木马程序和战略性网络入侵进行传播。自发现以来,功能齐全的后门已迅速发展,并分为多个部分。有一个下载程序将CRAT传递给受害人,然后是名为Orchestration Crat的下一阶段的Orchestrator恶意软件:该Orchestrator加载了用于间谍活动的各种插件,包括键盘记录,屏幕捕获和剪贴板窃取。
在调查中发现了与ScarCruft和Lazarus的一些弱连接:该恶意软件中的几条调试消息与ScarCruft恶意软件具有相似的模式,以及某些代码模式和Lazarus C2基础结构的命名。
6月,观察到一组新的恶意Android下载器,根据GReAT的遥测技术,至少自2019年12月以来,它们已在野外积极使用; 并已用于针对受害者的运动,几乎专门针对巴基斯坦。它的作者使用Kotlin编程语言和Firebase消息传递系统来下载该下载器,该系统模仿了Chat Lite,克什米尔新闻服务和其他合法的地区性Android应用程序。国家电信和信息技术安全委员会(NTISB)于1月发布的一份报告描述了共享相同C2并欺骗相同合法应用程序的恶意软件。
根据该出版物,目标是巴基斯坦军事机构,攻击者使用WhatsApp消息,SMS,电子邮件和社交媒体作为初始感染媒介。该恶意软件还通过Telegram Messenger传播。通过对最初的下载程序集进行分析,可以找到密切相关的另一组特洛伊木马,因为它们使用下载程序中提到的程序包名称并专注于相同的目标。这些新样本与以前归因于折纸大象的人工制品具有很强的代码相似性。
7月中旬,观察到一个东南亚政府组织,其目标是一个未知威胁参与者,该组织带有一个包含多层恶意RAR可执行程序包的恶意ZIP包。在其中一起事件中,该包装的主题是围绕COVID-19收容。GReAT认为,同一组织可能是政府Web服务器漏洞的同一目标,该漏洞在7月初遭到破坏,并为高度相似的恶意LNK提供服务。就像过去看到的针对特定国家/地区的其他运动一样,这些对手采取了长期的,多管齐下的方法来破坏目标系统,而没有利用零日漏洞
值得注意的是2020年5月,卡巴斯基技术使用Internet Explorer的恶意脚本阻止了对一家韩国公司的攻击。进一步分析发现,该攻击使用了以前未知的完整链,该链包括两个零时差漏洞:Internet Explorer的远程代码执行漏洞和Windows的Elevation of Privilege漏洞。
与我们发现的先前完整链不同,该完整链用于Operation WizardOpium,新的完整链针对的是Windows 10的最新版本,而我们的测试表明可以可靠地利用Internet Explorer 11和Windows 10的18363 x64版本。
6月8日,GReAT向Microsoft报告了我们的发现,Microsoft确认了此漏洞。在撰写报告时,Microsoft的安全团队已经为漏洞CVE-2020-0986准备了一个补丁,该补丁已在零日特权提升漏洞中使用。但是在GReAT发现之前,人们认为该漏洞的利用可能性较小。为CVE-2020-0986的补丁发布于6月9日微软分配CVE-1320至80年的释放后使用漏洞免费在JScript和这个补丁发布于8月11日。目前,无法与任何已知的威胁参与者建立明确的联系,但是由于与以前发现的漏洞利用相似,GReAT认为DarkHotel可能是此次攻击的幕后黑手。
7月22日,GReAT遇到了一个可疑的存档文件,该文件已从意大利来源上传到VirusTotal。该文件似乎是由恶意脚本,访问日志,恶意文档文件以及一些与来自安全解决方案的可疑文件检测相关的屏幕快照组成的分类。在研究了这些恶意文档文件之后,确定它们与我们在6月报告的Lazarus团体运动有关。这项名为“ DeathNote”的运动使用包含航空航天和国防相关工作说明的诱饵文件,针对汽车行业和学术领域的个人。这些文件与最近报道的对以色列国防公司的袭击有关。还发现了webshell脚本,C2服务器脚本和恶意文档。
GReAT观察到正在进行的Sidewinder运动始于2月,黑客组织使用了五种不同的恶意软件类型。该小组改变了其最终有效载荷,并继续以鱼叉式网络钓鱼等当前主题(例如COVID-19)为目标,瞄准政府,外交和军事实体。尽管感染机制与以前一样,包括该小组的选择利用(CVE-2017-1182)和使用DotNetToJScript工具来部署最终的有效负载,但还发现该参与者还使用了包含Microsoft编译的HTML帮助的ZIP存档。文件以下载最后阶段的有效负载。除了现有的基于.NET的植入物(我们称为SystemApp)之外,威胁参与者还向其武器库中添加了JS Orchestrator,Rover / Scout后门以及AsyncRAT,warzoneRAT的修改版。

07

其他有趣的发现

即使在最好的情况下,归因也很难,有时甚至根本不可能。在调查一项正在进行的活动时,发现了一种正在开发中的Android植入物,它与之前已知的任何Android恶意软件都没有明显的联系。该恶意软件能够监控和窃取通话记录、短信、音频、视频和非媒体文件,以及识别受感染设备的信息。它还实现了一个有趣的特性,用于收集使用“traceroute”命令和使用本地ARP缓存获得的网络路由和拓扑信息。
在这次调查中,我们发现了一组类似的Android信息窃取植入物,其中有一个被混淆了。GReAT还发现了更早的Android恶意软件,更像一个后门,它的踪迹可以追溯到2019年8月。
今年4月,思科(Cisco Talos)描述了一个不知名的黑客利用名为“PoetRAT”的新恶意软件攻击阿塞拜疆政府和能源部门的活动。在与卡巴斯基ICS CERT的合作中,GReAT确定了相关恶意软件和文件的补充样本,目标更广泛地针对阿塞拜疆的多所大学、政府和工业组织以及能源部门的实体。该活动于2019年11月初开始;思科的Talos报告发布后,攻击者立即关闭了基础设施。
观察到在受害者学上与图拉有些许重叠,但由于没有技术上可靠的证据证明他们之间的关系,而且也不能把这组新的活动归因于任何其他已知的演员,最后把它命名为Obsidian Gargoyle

08

总结

某些黑客组织的TTP随时间推移保持相当一致(例如使用热门主题(COVID-19)诱使用户下载并执行鱼叉式网络钓鱼电子邮件中发送的恶意附件),而其他组则进行自我改造,开发新的工具集和扩大其活动范围,例如,包括新平台。
并且,尽管某些威胁参与者开发了非常复杂的工具,例如MosiacRegressor UEFI植入,但其他威胁参与者在使用基本TTP方面取得了巨大成功。GReAT的定期季度审查旨在强调APT小组的主要发展。
以下是GReAT在2020年第三季度看到的主要趋势:

  • 地缘政治继续推动许多APT战役的发展,最近几个月来,透明部落,响尾蛇,折纸大象和MosaicRegressor的活动,以及NCSC和美国对各种威胁参与者的“命名和羞辱”都可见一斑。
  • 金融部门的组织也继续引起关注:雇佣军组织DeathStalker的活动就是一个最近的例子。
  • 将继续通过最近的示例(包括“透明部落”和“折纸大象”)观察在APT攻击中使用移动植入物的情况。
  • 尽管APT威胁行动者在全球范围内活跃,但最近的活动热点是东南亚,中东和受华语APT团体活动影响的各个地区。
  • 毫不奇怪,将继续看到以COVID-19为主题的攻击-本季度,其中包括WellMess和Sidewinder。
  • 本季度最有趣的APT广告活动包括DeathStalker和MosaicRegressor:前者强调了APT小组无需开发高度复杂的工具即可实现目标的事实。后者代表了恶意软件开发的前沿。

与以往的报告一样,这份报告就是GReAT安全团队在长期面对APT分析其中的可见的产物。尽管安全团队在不断检测和分析这些黑客组织,但总有一些复杂的攻击可能在他们的检测之下进行。
文章译自外网,对原文感兴趣戳:https://securelist.com/apt-trends-report-q3-2020/99204/

参与评论