2020年第二季度APT趋势报告

admin

101400
文章

87
评论

2020年8月7日19:22:29评论263 views字数 6190阅读20分38秒阅读模式

2020年第二季度APT趋势报告

摘要：

卡巴斯基全球研究与分析团队（GReAT）三年多来一直按季度发布高级持续威胁攻击（APT）活动报告，旨在警醒大众更多关注全球网络安全形势。这些报告基于他们的威胁情报研究，包含了私密APT报告中已发表过的代表性内容。

本次报告更新了GReAT在2020年第二季度期间观察到的重要活动。

想要了解更多APT研究报告的读者，请联系邮箱：[email protected]

最显著的发现

5月11日，英国超级计算中心ARCHER宣布将在调查安全事件时停止网络访问。该网站指出“ ARCHER设施基于提供中央计算资源的Cray XC30超级计算机具有4920个节点”。同时，德国bwHPC也发布了安全事件通告，并决定限制大众对其资源的访问。瑞士国家超级计算机中心参与研究冠状病毒小膜蛋白的项目时受到了网络攻击，官方宣布暂时关闭网络通道。5月15日，EGI计算机安全和事件响应小组（EGI-CSIRT）发起了涉及两起事件的警报，这两起事件的攻击目标都是学术数据中心。该警报包括许多IoC，这些IoC是对其他OSINT（开源情报）意见的补充。GReAT怀疑ARCHER hack与EGI-CSIRT事件相关。媒体推测，这些攻击可能与新冠肺炎研究有关。

2020年7月16日，NCSC 发布了一份通报，描述了针对COVID-19研究机构的恶意活动。这次攻击中使用的恶意软件来自一个名为WellMess的家族，早在2018年LAC公司就提到过。在这之前，这个恶意软件还没有被认为与任何APT活动有关。然而令人惊讶的是，NCSC认为APT-29是此次活动的罪魁祸首，但并未公开任何证据。

通过研究，GReAT发现WellMess的活动具有周期性，大致每三个月就会被用于竞选活动。2019年秋季出现活动频率高峰，随后在2020年2月C2数量增加。另外还有一些备受瞩目的目标，包括中东、北非和欧盟的电信公司，政府和承包商，但目前无法确定医疗卫生机构是否在攻击目标内。

有关WellMess的更多详细信息，您可以通过此链接查看：https：//youtu.be/xeTYLRCwnFo

Russian-speaking 活动

今年5月，Leonardo的研究人员发表了有关“ Penquin_x64”的报告，Penquin_x64是Turla的Penquin GNU / Linux后门程序的新变种。卡巴斯基深入研究了Penquin，并在1990年代的Moonlight Maze事件中发现了初代Unix原型。卡巴斯基生成了大规模检测Penquin_x64感染主机的网络探针，发现欧洲和美国的数十个Internet主机服务器仍然受到威胁。卡巴斯基认为，在公开披露Turla的GNU / Linux工具之后，Turla威胁组织可能已经重新将Penquin用于执行传统情报之外的活动。

6月，卡巴斯基发现了两个不同的域名，即“ emro-who [.] in”和“ emro-who [.] org”，它们是世界卫生组织（WHO）和东地中海区域办事处（EMRO）的误植域名。这些域名于6月21日使用Njalla.no注册，被用作鱼叉式网络钓鱼活动的发件人域。

Hades组织通常参与特定的黑客攻击和特殊访问操作，例如OlympicDestroyer攻击和ExPetr（aka NotPetya）和Badrabbit攻击。5月28日，美国国家安全局（NSA）发布了警报，详细介绍了Hades使用Exim漏洞（CVE-2019-10149）的目的，该漏洞似乎是为大规模访问而设计的。

Chinese-speaking活动

在2019年末以及今年3月，卡巴斯基发现了一个正在进行恶意活动未知威胁组织，并将其命名为Holy Water。Holy Water特别利用了Go语言和Google Drive命令驱动的植入程序。在发布报告并通知相关事件响应组织之后，新的Holy Water样本已提交给VirusTotal。

3月，卡巴斯基对ShadowPad攻击进行的一项研究中的YARA规则检测到了最新编译的可执行文件，该文件已上传到VirusTotal，还从遥测中发现了其他样本。ShadowPad是一个模块化攻击平台，由根模块和负责各种功能的各种插件模块组成。ShadowPad恶意软件已部署在许多主要的网络攻击中，并且在不同的攻击案例中使用了不同的插件子集：2017年的CCleaner事件和2018年的ShadowHammer攻击就是此类攻击的主要例子。

自2019年底以来，卡巴斯基调查显示，这些最近的ShadowPad恶意软件样本与CactusPete威胁组织之间存在密切的联系。近一年来，ShadowPad已普遍用于CactusPete攻击。

本季度，卡巴斯基研究了另一个自2019年12月开始的CactusPete攻击活动。在此活动中，CactusPete威胁组织采用新方法将DoubleT后门的更新版本植入到计算机上。攻击者很可能是通过恶意文档在Microsoft Word Startup目录中植入新的Dropper模块。此恶意删除程序负责删除并执行DoubleT后门的新版本，该后门使用了一种加密C2服务器地址的新方法。

通过对样本进一步分析，卡巴斯基得出的结论是，新发现的恶意软件与SixLittleMonkeys APT有关。据悉，此组织已经活跃了好几年，其攻击目标是中亚政府。

卡巴斯基已追踪HoneyMyte多年，今年2月，Avira的研究人员在博客中发布了有关HoneyMyte PlugX变体的信息，他们最近观察到此威胁组织的目标是香港。在过去的十年中，PlugX已被多个APT组织使用，尤其是华人威胁组织。Avira的博客介绍了PlugX加载器和后门负载，包括其USB功能。5月，卡巴斯基更新了该威胁组织的相关信息，以帮助搜寻今年1月至5月间发现的某些PlugX变体的威胁。

5月，卡巴斯基在一位东南亚高级官员的网站上发现了一个“ watering hole”。此 watering hole在3月出现，利用白名单和社会工程学技术来感染其目标。通过对代码，基础架构和受害者情况的分析，卡巴斯基把watering hole归因于HoneyMyte APT威胁组织。

Quarian是华人组织自2012年以来惯用的恶意程序。卡巴斯基观察到Icefog组织在2019年的攻击事件再次爆发之前未进行任何活动。卡巴斯基跟踪了以下恶意软件的活动并发现了一个新变体，该变体在2020年对中东和非洲政府的几次袭击中出现。我们可以从案例中看到，此变体是在政府网络上利用CVE-2020-0688漏洞后部署的。根据分析，这些袭击背后的组织是一个名为CloudComputating的华人组织，根据之前的报告，它们瞄准了备受瞩目的中东外交。

今年3月，Check Point Research的研究人员发表了一份报告，描述了针对蒙古公共部门的APT运动，并以冠状病毒为诱饵进行了首次入侵。卡巴斯基发现了更多目标相同的样本和COVID主题文件，以及在俄罗斯的其他目标。IronHusky是这些活动的致因。

中东地区

MuddyWater APT于2017年被发现，此后一直活跃于中东地区。在2019年，卡巴斯基报告了针对伊拉克和伊朗的电信提供商以及黎巴嫩的政府机构的活动。卡巴斯基在近期攻击浪潮中使用新的C ++工具链发现了MuddyWater，其使用了一个名为“Secure Socket Funneling ”的开源实用程序进行内网漫游。

5月底，Oilrig已经将DNSExfitrator工具包含在其工具集中。使用DNS协议进行恶意软件通信是一种Oilrig使用了很长时间的攻击方式。Oilrig将公开可用的dnsex滤液工具添加到自己的工具库中，该工具允许DoH查询谷歌和Cloudflare服务。

东南亚和朝鲜半岛地区

BlueNoroff是经济攻击最多的的APT组织之一，卡巴斯基已经发布了BlueNoroff针对金融机构的几次活动报告。最近，卡巴斯基发现了一个从2017年至今长期处于活跃状态的恶意活动。在该活动中，威胁组织发送包含网络存档快捷方式文件的鱼叉式网络钓鱼电子邮件。文件名被伪装成与加密货币相关的文件，以诱使用户执行它们。该活动的主要目标是金融机构，例如加密货币企业和金融科技公司。卡巴斯基确定了来自10个国家/地区的各种受害者，以及来自开源情报的更多潜在受害者。

Lazarus组织多年来一直是主要的威胁参与者。除了诸如网络间谍和网络破坏之类的目标外，该组织还针对全球的银行和其他金融公司。最近，我们观察到Lazaruss组织使用Bookcode攻击了韩国的软件供应商，Bookcode是一种Manuscrypt变种的恶意软件，利用水坑攻击（watering-hole attack）进行了传播。

卡巴斯基能够构建该组织的post-exploitation活动，确定他们使用的各种免费软件和红队工具。尽管Lazarus最近倾向于把重点放在金融行业，但他们在此次行动中试图窃取知识产权。此外，他们以前还曾使用与国防部门相关的诱饵文件传播Bookcode。根据卡巴斯基的评估，此Bookcode恶意软件仅用于网络间谍活动。

4月，卡巴斯基发布了有关VHD勒索软件的早期警告，该警告最早于3月下旬被发现。该勒索软件特别在它能够进行自我复制。卡巴斯基发现了一起针对法国和亚洲企业的事件，其中VHD勒索软件与已知的Lazarus工具被紧密部署在一起。这表明Lazarus是VHD勒索软件活动的幕后黑手。据卡巴斯基所知，这也是Lazarus组织首次因为获取经济利益而进行有针对性的勒索软件攻击。

去年，卡巴斯基就一个名为MATA的恶意软件框架创建了一份私密报告。该框架包括几个组件，例如加载器，协调器和插件。最初，此框架针对Windows和Linux。但是，在4月，卡巴斯基发现了一个使用规则检测MATA恶意软件框架的可疑macOS文件，该文件已上传到VirusTotal。在研究了该恶意软件之后，我们确认它是MATA恶意软件的macOS变种。

MATA框架并不是Lazarus针对macOS的唯一方式。卡巴斯基还注意到了与AppleJeus 行动相关的一系列活动，活动包含名为TangDaiwbo的macOS恶意软件。这是一个多平台加密货币交换活动：Lazarus利用宏嵌入的Office文档传播PowerShell或macOS恶意软件，具体取决于受害者的系统。

2020年初，卡巴斯基更新了Lazarus针对加密货币业务的活动。在此活动中，Lazarus采用了一种downloader，它可以发送受损的主机信息，并选择性地获取下一阶段的有效负载。经过研究，卡巴斯基最终确认它是Manuscrypt变种。除此之外，它与美国CISA（网络安全和基础设施安全局）最近报告的名为COPPERHEDGE的恶意软件变种相同。

卡巴斯基针对在东南亚长期存在的PhantomLance活动发表了一份私密报告，发现其与OceanLotus APT活动高度重合。尤其与先前的Android活动以及macOS后门存在多个相似代码，包括基础结构与Windows后门的重叠以及几个跨平台的相似之处。根据研究，卡巴斯基认为PhantomLance是由OceanLotus发起的Android活动。

OceanLotus自2019年下半年以来一直在使用其多级加载器的新变种。新的变种使用他们事先获得的目标主机的特定信息(用户名、主机名等)，以确保他们最后的植入被部署在选定的受害者上。该组织继续部署其后门植入装置以及Cobalt Strike Beacon，并更新基础设施。

其他发现

Deceptikons APT是一个长期从事间谍活动的组织，据悉已经提供了近10年的雇佣服务。据卡巴斯基所知，该组织在技术上并不成熟，也没有进行过零日攻击。Deceptikons基础设施和恶意软件集技术并不先进但具有高度持久性，并在许多方面与WildNeutron相似。Deceptikon屡次将商业和非政府组织作为攻击目标，对于APT组织而言有些不同寻常。在2019年，Deceptikons选定了一个欧洲律师事务所，并部署了PowerShell脚本。这些组织的动机很可能包括获取具体的财务信息、谈判细节，甚至可能还有律师事务所客户的证据。

MagicScroll（又称AcidBox）是卡巴斯基为复杂的恶意软件框架提供的名称，其主要目的是在内核模式下解密和加载任意有效负载。该框架由几个阶段组成。第一步是Windows安全提供程序，由系统在引导时加载并以用户模式执行。这将解密并运行第二个有效负载，该负载实际存储在注册表中。但卡巴斯基并未成功破解该恶意软件框架的最后一部分。

Aarogya Setu是由印度电子和信息技术部下属的，国家信息中心开发的一款强制性COVID-19移动跟踪应用程序的名称。它允许其用户连接到印度的基本医疗卫生服务系统。网络犯罪分子和APT参与者利用pandemic-tracking程序来散播特洛伊木马移动应用程序，卡巴斯基经调查后确认，它是一种在部署Android RAT时，模仿合法Aarogya Setu应用程序的外观和行为的应用程序。卡巴斯基认为其中之一是RAT的新版本，该RAT已被 Transparent Tribe 组织使用。

总结

纵览APT威胁组织活动，其发展并不是墨守成规的，它们不断跟随时代潮流发展革新。卡巴斯基定期季度报告旨在让大众更全面的了解全球APT发展趋势：

地域政治仍然是一些APT威胁组织的重要目标，如MuddyWater的活动，Middle East Eye网站的妥协以及CloudComputating和HoneyMyte团体的活动。
从Lazarus和BlueNoroff的活动中可以明显看出，经济利益是某些组织的另一个驱动因素。
尽管东南亚仍然是APT活动的活跃区域，但本季度华人组织开始活跃，其中包括ShadowPad，HoneyMyte，CactusPete，CloudComputating和SixLittleMonkeys。
APT威胁组织持续利用软件漏洞攻击，本季度包括Hades和MagicScroll。
PhantomLance运动表明，使用移动植入系统仍然是APT威胁组织攻击手段中的一种。
APT威胁组织与投机网络犯罪分子一样，利用COVID-19来吸引潜在受害者。但是这并不代表TTP发生了变化。