APT 趋势报告 Q2 2021

admin 2022年3月30日20:17:27评论63 views字数 11209阅读37分21秒阅读模式

APT 趋势报告 Q2 2021

四年多来,卡巴斯基的全球研究与分析团队 (GReAT) 一直在发布高级持续威胁 (APT) 活动的季度摘要。这些摘要基于我们的威胁情报研究,并提供了我们在我们的私人 APT 报告中更详细地发布和讨论的内容的代表性快照。它们旨在突出我们认为人们应该了解的重大事件和发现。

这是我们的最新一期,重点介绍我们在 2021 年第二季度观察到的活动。

最显着的发现

我们和 AMR 的同事在调查最近的 Microsoft Exchange 漏洞时发现,攻击者在我们称为 ExCone 的活动中部署了一个以前未知的后门“FourteenHi”,该活动自 3 月中旬开始活跃。在我们的调查中,我们发现了 FourteenHi 的多个工具和变体,配置了 FireEye 报告为与 UNC2643 活动集群相关的基础设施。此外,我们看到 ShadowPad 检测与 FourteenHi 变体感染同时发生,这可能暗示这两个恶意软件系列之间存在共享运算符。

FourteenHi 滥用流行的 VLC 媒体播放器来执行其加载程序。它能够执行基本的后门功能。进一步的调查还揭示了该演员用于在开发后获得态势感知的脚本,以及之前使用基础设施来操作 Cobalt Strike Beacon。

尽管我们无法直接将此活动归因于任何已知的威胁行为者,但我们发现了与 ShadowPad 恶意软件密切相关的较旧的、高度相似的 64 位后门样本,该恶意软件主要以其涉及将供应链攻击作为感染媒介的操作而闻名. 值得注意的是,我们还在 UNC2643 活动集中使用的 64 位样本中发现了一个 C2 IP,该 IP 与 HAFNIUM 威胁参与者相关,也使用 Cobalt Strike、DLL 侧加载和利用相同的 Exchange 漏洞。

俄语活动

5 月 27 日至 28 日,Volexity 和 Microsoft 发布了有关针对整个欧洲和北美外交实体的持续电子邮件活动的详细信息。这些攻击分别归因于 Microsoft 和 Volexity 的 Nobelium 和 APT29。虽然我们能够验证恶意软件和可能针对这组活动的目标,但我们目前无法对哪个威胁行为者负责做出明确的评估,尽管我们发现了与 Kazuar 的联系。我们已将其指定为新的威胁参与者,并将其命名为“HotCousin”。攻击始于鱼叉式网络钓鱼电子邮件,导致 ISO 文件容器存储在磁盘上并挂载。从这里,受害者看到了一个 LNK 文件,看起来像资源管理器窗口中的一个文件夹。如果受害者双击它,然后,LNK 执行了一个用 .NET 编写的加载器,称为 BoomBox 或 DLL。执行链最终以 Cobalt Strike 信标负载加载到内存中结束。根据公共博客,目标很普遍,但主要集中在整个欧洲和北美的外交实体:根据与恶意软件捆绑在一起的诱饵文件的内容,这种评估似乎是准确的。这一系列活动从 1 月开始有条不紊地进行,有选择性地瞄准和缓慢的行动步伐,然后逐渐增加并在 5 月结束。根据其他带有类似工具标记的 Cobalt Strike 有效载荷和加载器,有迹象表明该威胁行为者之前的活动至少可以追溯到 2020 年 10 月。执行链最终以 Cobalt Strike 信标负载加载到内存中结束。根据公共博客,目标很普遍,但主要集中在整个欧洲和北美的外交实体:根据与恶意软件捆绑在一起的诱饵文件的内容,这种评估似乎是准确的。这一系列活动从 1 月开始有条不紊地进行,有选择性地瞄准和缓慢的行动步伐,然后逐渐增加并在 5 月结束。根据其他带有类似工具标记的 Cobalt Strike 有效载荷和加载器,有迹象表明该威胁行为者之前的活动至少可以追溯到 2020 年 10 月。执行链最终以 Cobalt Strike 信标负载加载到内存中结束。根据公共博客,目标很普遍,但主要集中在整个欧洲和北美的外交实体:根据与恶意软件捆绑在一起的诱饵文件的内容,这种评估似乎是准确的。这一系列活动从 1 月开始有条不紊地进行,有选择性地瞄准和缓慢的行动步伐,然后逐渐增加并在 5 月结束。根据其他带有类似工具标记的 Cobalt Strike 有效载荷和加载器,有迹象表明该威胁行为者之前的活动至少可以追溯到 2020 年 10 月。目标很普遍,但主要集中在整个欧洲和北美的外交实体:根据与恶意软件捆绑在一起的诱饵文件的内容,该评估似乎是准确的。这一系列活动从 1 月开始有条不紊地进行,有选择性地瞄准和缓慢的行动步伐,然后逐渐增加并在 5 月结束。根据其他带有类似工具标记的 Cobalt Strike 有效载荷和加载器,有迹象表明该威胁行为者之前的活动至少可以追溯到 2020 年 10 月。目标很普遍,但主要集中在整个欧洲和北美的外交实体:根据与恶意软件捆绑在一起的诱饵文件的内容,该评估似乎是准确的。这一系列活动从 1 月开始有条不紊地进行,有选择性地瞄准和缓慢的行动步伐,然后逐渐增加并在 5 月结束。根据其他带有类似工具标记的 Cobalt Strike 有效载荷和加载器,有迹象表明该威胁行为者之前的活动至少可以追溯到 2020 年 10 月。

中东

BlackShadow 是一个威胁组织,在从以色列保险公司 Shirbit 窃取敏感文件并要求赎金以换取不发布其拥有的信息后而闻名。从那以后,该组织登上了更多头条新闻,攻击了以色列的另一家公司,并在 Telegram 上发布了大量包含客户相关信息的文件。在此之后,我们在遥测中发现了该组织独特的 .NET 后门的几个样本,这些样本以前我们不知道,其中一个最近在沙特阿拉伯被发现。通过以我们在这些样本中观察到的新基础设施指标为中心,我们能够找到一个特定的 C2 服务器,该服务器与恶意 Android 植入物联系并显示出与该组织活动的联系。

我们之前报道了针对中东目标的 WildPressure 活动。今年春天跟踪威胁参与者的恶意软件,我们能够找到他们的 C++ 木马的更新版本 (1.6.1)、具有相同版本的相应 VBScript 变体和一组全新的模块,包括一个编排器和三个插件. 这证实了我们之前的假设,即基于包含“客户端”编程语言的 C2 通信协议中的一个字段,除了 C++ 之外还有更多的最后阶段。WildPressure 使用的另一种语言是 Python。Windows 的 PyInstaller 模块包含一个名为“Guard”的脚本。也许这里最有趣的发现是该恶意软件是为 Windows 和 macOS 操作系统开发的。在这种情况下,硬编码版本是 2.2.1。编码风格,总体设计和 C2 通信协议在攻击者使用的所有编程语言中都非常可识别。WildPressure 使用的恶意软件在版本和使用的编程语言方面仍在积极开发中。尽管我们无法将 WildPressure 的活动与其他威胁行为者联系起来,但我们确实在 BlackShadow 使用的 TTP(战术、技术和程序)中发现了细微的相似之处,BlackShadow 在同一地区也很活跃。但是,我们认为这些相似之处只是次要关系,不足以做出任何归因。尽管我们无法将 WildPressure 的活动与其他威胁行为者联系起来,但我们确实在 BlackShadow 使用的 TTP(战术、技术和程序)中发现了细微的相似之处,BlackShadow 在同一地区也很活跃。但是,我们认为这些相似之处只是次要关系,不足以做出任何归因。虽然我们无法将 WildPressure 的活动与其他威胁行为者联系起来,但我们确实在 BlackShadow 使用的 TTP(战术、技术和程序)中发现了细微的相似之处,BlackShadow 在同一地区也很活跃。但是,我们认为这些相似之处只是次要关系,不足以做出任何归因。

我们发现了一项正在进行的活动,我们将其归因于一个名为 WIRTE 的参与者,该活动从 2019 年底开始,针对多个部门,重点是中东。WIRTE 是一个鲜为人知的威胁行为者,于 2019 年首次公开提及,我们怀疑它与 Gaza Cybergang 威胁行为者组织有关系。在我们 2 月份的搜寻工作中,对于使用 VBS/VBA 植入程序的威胁行为者团体,我们遇到了 MS Excel 删除程序,它们使用隐藏的电子表格和 VBA 宏来删除他们的第一阶段植入程序 – VBS 脚本。VBS 脚本的主要功能是收集系统信息并执行攻击者发送的任意代码。尽管我们最近报道了一种用于侦察和分析活动的新型 Muddywater 第一阶段 VBS 植入物,但这些入侵集具有略有不同的 TTP 和更广泛的目标。迄今为止,我们记录的受害者集中在中东和该地区以外的其他一些国家。尽管各行各业都受到影响,但重点主要是政府和外交实体;然而,我们也注意到针对律师事务所的不同寻常的目标。

GoldenJackal 是我们最近在我们的遥测中发现的活动集群的名称,自 2019 年 11 月以来一直处于活动状态。此入侵集由一组基于 .NET 的植入程序组成,旨在控制受害机器并窃取某些来自他们的文件,表明该演员的主要动机是间谍活动。此外,在与中东外交实体相关的一组受限机器中发现了植入物。对上述恶意软件以及随附的检测日志的分析描绘了一个有能力且适度隐蔽的演员。这可以通过我们遇到的少数组织中的潜在参与者获得的成功立足点来证实,同时保持低签名和模棱两可的足迹。

东南亚及朝鲜半岛

ScarCruft 组织是一个地缘政治动机的 APT 组织,通常攻击与朝鲜事务有关的政府实体、外交官和个人。在我们上次关于该组织的报告之后,我们已经将近一年没有看到它的活动了。然而,我们观察到 ScarCruft 在 1 月入侵了一个与朝鲜相关的新闻媒体网站,开始了一项活动,直到 3 月。攻击者利用相同的漏洞利用链,CVE-2020-1380 和 CVE-2020-0986,也用于Powerfall 行动根据漏洞利用代码和感染方案特征,我们怀疑Operation PowerFall与ScarCruft组织有联系。漏洞利用链包含 shellcode 执行的几个阶段,最终在内存中部署 Windows 可执行负载。我们发现了来自韩国和新加坡的几名受害者。除了这种水坑攻击之外,该组织还使用了隐藏其有效载荷的 Windows 可执行恶意软件。这种被称为“攻击系统”的恶意软件还使用多阶段 shellcode 感染来传送名为“BlueLight”的相同最终有效载荷。BlueLight 使用 OneDrive for C2。历史上,ScarCruft 恶意软件,尤其是 RokRat,利用个人云服务器作为 C2 服务器,例如 pCloud、Box、Dropbox 和 Yandex。

2020 年 5 月,台湾刑事调查局 (CIB) 发布了关于针对台湾立法者的攻击的公告。根据他们的信息,一名身份不明的攻击者使用虚假的总统府电子邮件帐户发送鱼叉式网络钓鱼电子邮件,传递我们称之为“Palwan”的恶意软件。Palwan 是一种恶意软件,能够执行基本的后门功能以及下载具有附加功能的更多模块。在分析恶意软件时,我们发现了另一个针对尼泊尔的并行活动。我们还发现,在 2020 年 10 月和今年 1 月,使用 Palwan 恶意软件变体对尼泊尔发起了两波攻击。我们怀疑尼泊尔的目标行业与台湾 CIB 报告的行业相似。调查尼泊尔战役中使用的基础设施,我们发现与 Dropping Elephant 活动重叠。但是,我们认为这种重叠不足以将此活动归因于 Dropping Elephant 威胁参与者。

BlueNoroff 是一家历史悠久、以财务为动机的 APT 集团,多年来一直瞄准金融业。在最近的运营中,该集团专注于加密货币业务。自 2020 年我们对 BlueNoroff 的“SnatchCrypto”活动的研究发表以来,该组织传播恶意软件的策略已经发生了变化。在此活动中,BlueNoroff 使用了一个利用远程模板注入漏洞 CVE-2017-0199 的恶意 Word 文档。注入的模板包含一个 Visual Basic 脚本,该脚本负责解码来自初始 Word 文档的下一个有效负载并将其注入到合法进程中。注入的有效载荷会在受害者的机器上创建一个持久的后门。我们观察到了几种类型的后门。为了进一步监视受害者,恶意软件操作者还可能部署其他工具。BlueNoroff 尤其为此活动建立了虚假的区块链或与加密货币相关的公司网站,以引诱潜在受害者并启动感染过程。使用了大量诱饵文件,其中包含业务和保密协议以及业务介绍。与之前的 SnatchCrypto 活动相比,BlueNoroff 组织使用了类似的后门和 PowerShell 代理,但更改了初始感染媒介。附加到鱼叉式网络钓鱼电子邮件的 Windows 快捷方式文件曾经是感染的起点:它们现在已被武器化的 Word 文档所取代。其中包含业务和保密协议以及业务介绍。与之前的 SnatchCrypto 活动相比,BlueNoroff 组织使用了类似的后门和 PowerShell 代理,但更改了初始感染媒介。附加到鱼叉式网络钓鱼电子邮件的 Windows 快捷方式文件曾经是感染的起点:它们现在已被武器化的 Word 文档所取代。其中包含业务和保密协议以及业务介绍。与之前的 SnatchCrypto 活动相比,BlueNoroff 组织使用了类似的后门和 PowerShell 代理,但更改了初始感染媒介。附加到鱼叉式网络钓鱼电子邮件的 Windows 快捷方式文件曾经是感染的起点:它们现在已被武器化的 Word 文档所取代。

我们发现了安达利尔活动使用修改后的感染方案和针对韩国广泛行业的定制勒索软件。4 月,我们观察到一个包含韩文文件名和诱饵的可疑文件上传到 VirusTotal。它揭示了一个新的感染方案和一个陌生的有效载荷。在我们的研究过程中,Malwarebytes 发布了一份报告,其中包含有关同一系列攻击的技术细节,并将其归咎于 Lazarus 组织。经过深入分析,我们得出了不同的结论——安达利尔集团是这些攻击的幕后黑手。此活动中的第二阶段有效负载与来自 Andariel 组的先前恶意软件之间的代码重叠允许此归因。除了代码相似性和受害者论之外,我们还发现了与 Andariel 组织的其他联系。每个威胁参与者在后开发阶段与后门 shell 交互工作时都有一个独特的习惯。此活动中使用 Windows 命令及其选项的方式与之前的 Andariel 活动几乎相同。自 2020 年年中以来,攻击者一直在传播第三阶段的有效载荷,并利用恶意 Word 文档和模仿 PDF 文档的文件作为感染媒介。值得注意的是,除了最后一个后门,我们还发现一名受害者感染了自定义勒索软件。这种勒索软件为这次 Andariel 活动增加了另一个方面,该活动也在之前涉及 ATM 入侵的操作中寻求财务利润。此活动中使用 Windows 命令及其选项的方式与之前的 Andariel 活动几乎相同。自 2020 年年中以来,攻击者一直在传播第三阶段的有效载荷,并利用恶意 Word 文档和模仿 PDF 文档的文件作为感染媒介。值得注意的是,除了最后一个后门,我们还发现一名受害者感染了自定义勒索软件。这种勒索软件为这次 Andariel 活动增加了另一个方面,该活动也在之前涉及 ATM 入侵的操作中寻求财务利润。此活动中使用 Windows 命令及其选项的方式与之前的 Andariel 活动几乎相同。自 2020 年年中以来,攻击者一直在传播第三阶段的有效载荷,并利用恶意 Word 文档和模仿 PDF 文档的文件作为感染媒介。值得注意的是,除了最后一个后门,我们还发现一名受害者感染了自定义勒索软件。这种勒索软件为这次 Andariel 活动增加了另一个方面,该活动也在之前涉及 ATM 入侵的操作中寻求财务利润。我们发现一名受害者感染了自定义勒索软件。这种勒索软件为这次 Andariel 活动增加了另一个方面,该活动也在之前涉及 ATM 入侵的操作中寻求财务利润。我们发现一名受害者感染了自定义勒索软件。这种勒索软件为这次 Andariel 活动增加了另一个方面,该活动也在之前涉及 ATM 入侵的操作中寻求财务利润。

我们最近在东南亚发现了一场大规模、高度活跃的攻击,来自我们称之为LuminousMoth的威胁行为者进一步分析显示,这种恶意活动可以追溯到 2020 年 10 月,并且在我们 6 月报告时仍在进行中。LuminousMoth 利用 DLL 旁加载来下载和执行 Cobalt Strike 负载。然而,这种攻击最有趣的部分可能是它通过感染 USB 驱动器传播到其他主机的能力。除了恶意 DLL 之外,攻击者还在一些受感染的系统上部署了流行应用程序 Zoom 的签名但伪造版本,使他们能够窃取文件;以及通过从 Chrome 浏览器窃取 cookie 来访问受害者 Gmail 会话的附加工具。基础设施关系以及共享的 TTP 暗示 LuminousMoth 和 HoneyMyte 威胁组织之间可能存在联系,该组织过去曾针对同一地区并使用类似的工具。这种活动的大多数早期目击事件发生在缅甸,但现在看来,攻击者在菲律宾更为活跃,那里已知的攻击次数增加了十倍以上。这就提出了一个问题,即这是由可移动设备的快速复制引起的,还是由未知的感染媒介引起的,例如专注于菲律宾的水坑。

我们最近报道了 SideCopy 活动与基于 Android 的植入一起攻击 Windows 平台。事实证明,这些植入物是多个应用程序,充当信息窃取者,从受害者的设备中收集敏感信息,例如联系人列表、SMS 消息、通话录音、媒体和其他类型的数据。随后,我们发现了其他恶意 Android 应用程序,其中一些声称是已知的消息应用程序,例如 Signal 或成人聊天平台。这些新发现的应用程序使用 Firebase 消息传递服务作为接收命令的渠道。操作员能够控制是否使用 Dropbox 或其他硬编码服务器来窃取被盗文件。

其他有趣的发现

扩展我们对针对 CVE-2021-1732 的漏洞的研究,最初由 DBAPPSecurity 威胁情报中心发现并由 Bitter APT 小组使用,我们发现了另一个可能在亚太 (APAC) 地区使用的零日漏洞有趣的是,该漏洞是作为单独框架的一部分在野外发现的,与 CVE-2021-1732 以及其他先前修补的漏洞一起被发现。我们非常确信该框架与 Bitter APT 完全无关,而是被其他威胁参与者使用。进一步的分析表明,这种权限提升 (EoP) 漏洞至少自 2020 年 11 月以来就可能被广泛使用。发现后,我们于 2 月向 Microsoft 报告了这一新漏洞。在确认我们确实在处理一个新的零日漏洞后,它收到了 CVE-2021-28310 的名称。

漏洞利用中留下的各种标记和工件意味着我们也非常确信 CVE-2021-1732 和 CVE-2021-28310 是由我们跟踪为“摩西”的同一个漏洞利用开发人员创建的。“Moses”似乎是一名漏洞利用开发人员,他根据过去的其他漏洞利用和观察到的利用它们的行为者,将漏洞利用提供给多个威胁参与者。迄今为止,我们已经确认至少有两个已知的威胁行为者利用了最初由 Moses 开发的漏洞:Bitter APT 和 Dark Hotel。基于类似的标记和工件,以及从第三方私下获得的信息,我们认为过去两年在野外观察到的至少有六个漏洞源自“摩西”。虽然 EoP 漏洞是在野外发现的,我们目前无法直接将其使用与我们目前正在跟踪的任何已知威胁行为者联系起来。EoP 漏洞利用可能与其他浏览器漏洞利用链接在一起,以逃避沙箱并获得系统级权限以进行进一步访问。不幸的是,我们无法捕获完整的漏洞利用链,因此我们不知道该漏洞利用是否与其他浏览器零日漏洞一起使用,或者与利用已知的已修补漏洞的漏洞利用相结合。

在另一项最新调查中,在 ProxyLogon 和其他 Exchange 漏洞曝光后,APT 参与者对 Exchange 服务器的攻击激增,我们注意到了一个独特的活动集群。它引起了我们的注意,因为它背后的参与者似乎至少自 2020 年 12 月以来一直在积极破坏 Exchange 服务器,同时使用我们无法与任何已知威胁组关联的工具集。在 3 月份,针对 Exchange 服务器的几波攻击被公开,部分描述了我们观察到的相同活动集群。其中一个由 ESET 报告,其中包含一项评估,即该活动背后的参与者在公开发布之前可以访问 Exchange 漏洞,这与我们去年对其早期活动的观察一致。那说,没有一个公共帐户描述了完整感染链和恶意软件后期阶段的目击情况,这些恶意软件是作为该组织行动的一部分部署的。我们采用由 ESET 公开给这个活动集群的名称 Websiic,报告了潜在威胁参与者的 TTP。也就是说,我们专注于商品工具的使用,如 China Chopper webshell 和该组织使用的专有 .NET 后门,我们将其称为“Samurai”,并描述了比迄今为止记录的目标更广泛的目标集。

4 月 15 日,Codecov 公开披露其 Bash Uploader 脚本已被入侵,并在 1 月 31 日至 4 月 1 日之间分发给用户。Bash Uploader 脚本由 Codecov 公开分发,旨在收集有关用户执行环境的信息,收集代码覆盖率报告,并将其发送到 Codecov 基础设施。因此,该脚本入侵有效地构成了供应链攻击。Bash 上传器脚本通常在开发和测试环境中作为受信任的资源执行(包括作为自动化构建过程的一部分,例如持续集成或开发管道);其危害可能会导致恶意访问基础设施或帐户机密,以及代码存储库和源代码。

Click Studios 于 4 月 22 日向其客户发送的一封电子邮件通知他们,一个复杂的威胁行为者已经获得了对 Passwordstate 自动更新功能的访问权限,称为就地升级。Passwordstate 是企业的密码管理工具,4 月 20 日,在大约 28 小时的时间里,软件更新中包含恶意 DLL。4 月 24 日,还发布了事件管理咨询。该活动的目的是窃取存储在密码管理器中的密码。尽管此攻击仅在短时间内活跃,但我们还是设法获取了恶意 DLL 并报告了我们的初步发现。尽管如此,目前还不清楚攻击者是如何开始访问 Passwordstate 软件的。继 Click Studio 于 4 月 28 日发布的新公告之后,我们发现了一个恶意 DLL 的新变种,用于对 Passwordstate 密码管理器进行后门。此 DLL 变体是在网络钓鱼活动中分发的,很可能是同一个人所为。

在微软(4 月 13 日)发布 4 月补丁星期二更新几天后,一些可疑文件引起了我们的注意。这些文件是二进制文件,伪装成“2021 年 4 月安全更新安装程序”。他们使用有效的数字签名进行签名,提供 Cobalt Strike 信标模块。这些模块很可能是用窃取的数字证书签名的。这些 Cobalt Strike 信标植入物配置有硬编码的 C2,“code.microsoft.com”。与奇虎 360 团队围绕此活动发表的(现已编辑)出版物相反,我们可以确认没有对 Microsoft 的基础架构造成损害。事实上,未经授权的一方接管了悬空的子域“code.microsoft.com”并将其配置为解析到他们的 Cobalt Strike 主机,大约在 4 月 15 日设置。该域托管了 Cobalt Strike 信标负载,使用特定且唯一的用户代理服务于 HTTP 客户端。根据微软和奇虎最初的通知,这种情况下的影响非常有限,由于需要唯一的用户代理,因此不会影响到本网站毫无戒心的访问者。

4 月 14 日至 15 日,卡巴斯基技术检测到一波针对多家公司的高度针对性攻击。更仔细的分析表明,所有这些攻击都利用了一系列 Google Chrome 和 Microsoft Windows 零日漏洞。虽然我们无法在 Chrome 网络浏览器中检索用于远程代码执行 (RCE) 的漏洞,但我们能够找到并分析用于逃离沙箱并获取系统权限的权限提升 (EoP) 漏洞。EoP 漏洞利用经过微调,可以针对 Windows 10 的最新和最突出的版本(17763 – RS5、18362 – 19H1、18363 – 19H2、19041 – 20H1、19042 – 20H2),它利用 Microsoft Windows 操作系统内核。4月20日,我们向 Microsoft 报告了这些漏洞,他们将 CVE-2021-31955 分配给信息披露漏洞,将 CVE-2021-31956 分配给 EoP 漏洞。这两个漏洞都在 6 月 8 日修补,作为 6 月补丁星期二的一部分。漏洞利用链试图通过滴管在系统中安装恶意软件。恶意软件作为系统服务启动并加载有效载荷,这是一个“远程外壳”风格的后门,它依次连接到 C2 以获取命令。到目前为止,我们还没有找到与已知演员的任何联系或重叠。因此,我们暂时将这组活动称为 恶意软件作为系统服务启动并加载有效负载,这是一个“远程外壳”式后门,它依次连接到 C2 以获取命令。到目前为止,我们还没有找到与已知演员的任何联系或重叠。因此,我们暂时将这组活动称为 恶意软件作为系统服务启动并加载有效载荷,这是一个“远程外壳”风格的后门,它依次连接到 C2 以获取命令。到目前为止,我们还没有找到与已知演员的任何联系或重叠。因此,我们暂时将这组活动称为益智制造商

4 月 16 日,我们开始从社区中的其他研究人员那里听到有关积极利用 Pulse Secure 设备的谣言。在此之前一天,美国国家安全局、CISA 和 FBI 联合发布了一份公告,指出 APT29 正在对包括 Pulse Secure 在内的易受攻击的系统进行广泛的扫描和利用。出于这个原因,最初的想法是两者是相关的;这些只是在社区中流传的关于旧活动再次曝光的谣言。在此之后,我们至少能够确认最初的谣言是发生在 1 月和 3 月之间的一组单独活动的一部分,与上述建议没有直接关系。这项新活动涉及利用 Pulse Secure 中的至少两个漏洞;一个以前打过补丁,一个零日漏洞 (CVE-2021-22893)。我们还了解到第三方通知受影响的组织,他们可能会受到此活动的影响。在利用之后,威胁行为者继续部署一个简单的 webshell 来保持持久性。5 月 3 日,Pulse Secure 发布了“周期外”更新和解决方案包,为多个漏洞提供解决方案。

我们发现了针对西域和巴基斯坦的一小群人的持续攻击,这些地区主要是少数民族。攻击者使用恶意可执行文件收集有关受感染系统的信息并尝试下载第二阶段的有效负载。该行为者付出了相当大的努力来伪装有效载荷,无论是通过使用最新的相关主题创建似乎来自联合国的交付文件,还是通过为声称资助慈善团体的不存在的组织建立网站。在我们的报告中,我们检查了两种感染媒介的流向,并提供了对我们在本次调查中遇到的恶意工件的分析,尽管我们无法获得感染链的后期阶段。

最后的想法

虽然一些威胁行为者的 TTP 会随着时间的推移保持一致,严重依赖社会工程作为在目标组织中立足或破坏个人设备的一种手段,但其他人则更新了他们的工具集并扩展了他们的活动范围。我们的定期季度审查旨在突出 APT 团体的关键发展。

以下是我们在 2021 年第二季度看到的主要趋势:

  • 最近几个月,我们报告了几起供应链攻击。虽然有些是重大的并引起了全世界的关注,但我们观察到同样成功的低技术攻击,例如 BountyGlad、CoughingDown 和针对 Codecov 的攻击。

  • APT 团体主要使用社会工程在目标网络中获得初步立足点。但是,我们已经看到 APT 威胁参与者利用漏洞利用来获得最初的立足点——包括由我们称为“摩西”的漏洞利用开发者开发的零日漏洞以及在 PuzzleMaker、Pulse Secure 攻击和 Exchange 服务器漏洞中使用的漏洞.

  • APT 威胁参与者通常会刷新和更新他们的工具集:这不仅包括包含新平台,还包括使用其他语言,如 WildPressure 的 macOS 支持的 Python 恶意软件所见。

  • 正如各种威胁行为者(包括 BountyGlad、HotCousin、GoldenJackal、Scarcruft、Palwan、Pulse Secure 以及 WebDav-O/Mail-O 植入物背后的威胁行为者)的活动所表明的那样,地缘政治继续推动 APT 的发展。

与往常一样,我们会注意到我们的报告是我们对威胁形势的可见性的产物。然而,应该记住,虽然我们努力不断改进,但其他复杂的攻击总是有可能出现在我们身边。


原文始发于微信公众号(飞雪 SecurityBlog):APT 趋势报告 Q2 2021

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年3月30日20:17:27
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   APT 趋势报告 Q2 2021http://cn-sec.com/archives/853846.html

发表评论

匿名网友 填写信息