有针对性的攻击归因始终是一件棘手的事情,总的来说,我们认为归因最好留给执法机构。原因在于,虽然 90% 的人可以了解攻击者的一些信息,例如他们的母语甚至位置,但剩下的 10% 可能会导致令人尴尬的归因错误或更糟。知名人士尽一切努力在受害者的基础设施中不被发现,并尽可能少留下痕迹。他们实施了多种技术,使他们的竞选活动的调查更加困难。使用 LOLBINS、常见的合法渗透测试工具和无文件恶意软件;通过放置虚假标志来误导安全研究人员——这些和其他反取证技巧通常使威胁归因成为运气问题。这就是为什么总是有一定比例的针对性攻击多年来仍未归咎于原因。最近,我分享了我在 Twitter 上最神秘的 APT 活动/工具的 TOP 10 列表。在本文中,我提供了有关每种情况的更多详细信息。
1. 泰姬陵项目 Project TajMahal
2018 年底,我们发现了一个复杂的间谍框架,我们称之为“泰姬陵”。它由两个不同的包组成,分别名为“Tokyo”和“Yokohama”,能够窃取各种数据,包括受害者机器上刻录的 CD 数据和发送到打印机队列的文件。每个软件包都包含许多恶意工具:后门程序、键盘记录程序、下载程序、编排程序、屏幕和网络摄像头抓取器、录音机等。总共发现了多达 80 个恶意模块。
在我们第一次发现它之前,泰姬陵项目已经活跃了至少五年。更神秘的是,它唯一已知的受害者是一个备受瞩目的外交实体。谁是攻击的幕后黑手,是否还有其他受害者,或者整个工具集是否被开发为只渗透一个组织——这些问题仍未得到解答。
2.黑暗宇宙 DarkUniverse
DarkUniverse 是我们在 2018 年发现并报道的另一个 APT 框架。它在野外活跃了至少八年——从 2009 年到 2017 年——并针对叙利亚、伊朗、阿富汗、坦桑尼亚、埃塞俄比亚的至少 20 个民用和军事实体、苏丹、俄罗斯、白俄罗斯和阿拉伯联合酋长国。该恶意软件通过带有恶意 Microsoft Office 文档作为附件的鱼叉式网络钓鱼电子邮件进行传播。它由几个模块组成,负责不同的间谍活动,例如键盘记录、邮件流量拦截、截图、收集各种系统信息等等。
DarkUniverse 在野外被发现的唯一突出案例是当他们复杂的 ItaDuke 恶意软件被一个名为“Visaform Turkey.pdf”的零日 PDF 漏洞利用丢弃时。DarkUniverse 仍未归属,也不清楚这位演员在 2017 年之后发生了什么。
3.拼图师 PuzzleMaker
2021 年 4 月,我们检测到了几起使用复杂的零日漏洞攻击链的针对性攻击。为了渗透系统,攻击者使用了 Google Chrome RCE 漏洞。我们无法获得该漏洞利用,但怀疑该漏洞是CVE-2021-21224,它使攻击者能够在浏览器沙箱内执行任意代码。进入后,攻击者利用 Windows 内核中的信息泄露漏洞CVE-2021-31955获取 EPROCESS 结构的内核地址,并使用另一个 Windows 内核漏洞CVE-2021-31956提升权限。
成功利用这些漏洞后,由四个模块组成的自定义恶意软件被传送到受感染的系统。这些模块是 stager、dropper、service 和 remote shell,最后一个是最终的有效负载。我们将 APT 称为“PuzzleMaker”。
与已知 APT 活动的唯一薄弱环节是 PuzzleMaker 和 CHAINSHOT 恶意软件以及至少两个国家支持的威胁参与者都使用的后利用技术。然而,该技术是公知的并且可以被各个团体独立使用。
4. ProjectSauron(又名 Strider)
ProjectSauron 于2015 年 9 月首次被发现,当时卡巴斯基反目标攻击平台检测到客户组织中的异常网络流量。流量源自加载到域控制器服务器内存中并注册为 Windows 密码过滤器的可疑库,该过滤器可以访问管理帐户的纯文本密码。事实证明,它是针对俄罗斯、伊朗、卢旺达以及可能的意大利语国家的政府、电信、科学、军事和金融组织的复杂 APT 平台的一部分。
ProjectSauron得名于其配置中提到的“Sauron”
ProjectSauron 平台具有模块化结构。它的核心植入物对每个受害者都是独一无二的,具有不同的文件名和大小,以及针对目标环境量身定制的时间戳。这样,在一个组织中发现的文物对其他受害者来说价值很低。这些核心植入物充当后门,下载额外的模块并在内存中运行命令。这些模块执行特定的间谍功能,例如键盘记录、窃取文档或从受感染的计算机和连接的 USB 设备中劫持加密密钥。一个特殊的模块负责通过受感染的 USB 驱动器访问气隙系统。
ProjectSauron 背后的威胁行为者使用复杂的命令和控制基础设施,涉及范围广泛的不同 ISP 和美国和欧洲的许多 IP 地址。演员尽一切可能避免在其操作中创建可识别的模式。唯一可以自信地说的是,如果没有民族国家的赞助商,这种复杂程度是很难实现的。还值得注意的是,该演员可能是从其他备受瞩目的 APT 中学习的,例如Duqu、Flame、Equation和Regin。
5. USB小偷 USBThief
2016 年,我们 ESET 的同事发现了一种 USB 恶意软件,该恶意软件具有复杂的自我保护机制。它被称为“USB Thief”,由六个文件组成,其中两个是配置文件,另外四个是可执行文件。这些文件被设计为按预定义的顺序执行,其中一些是 AES128 加密的。加密密钥是使用唯一的 USB 设备 ID 和某些磁盘属性生成的。这使得除了受感染的 USB 驱动器之外的任何地方都很难解密和运行文件。
其中三个可执行文件是加载下一阶段文件的加载程序。为了确保以正确的顺序加载文件,它们使用先前加载的文件的哈希值作为它们的名称。此外,一些文件会检查父进程的名称,如果错误则终止。最终的有效负载是一个数据窃取程序,它查看配置文件以获取有关要窃取哪些数据、如何对其进行加密以及存储在何处的信息。数据总是被泄露到受感染的 USB 设备上的某个位置。
USB Thief 中实现的另一项有趣技术是使用某些应用程序的便携版本,例如记事本、Firefox 和 TrueCrypt,以诱骗用户运行第一个恶意软件加载程序。为了实现这一目标,它将自己作为插件或动态链接库注入到这些应用程序的命令链中。当用户运行受感染的应用程序时,恶意软件也会启动。该恶意软件并不普遍,很可能用于涉及人力资产的高度针对性攻击。
自从我在 Twitter 上发帖后,我们 ESET 的同事分享了有关此工具集的更多信息,其中包括他们怀疑它可能与 Lamberts APT 小组有关:
6. TENSHO(又名 White Tur)
2021 年初,普华永道公司的研究人员在搜索欺骗政府网站的网络钓鱼页面时,偶然发现了一个用于获取塞尔维亚国防部证书的网络钓鱼页面。该页面将他们引向了一个以前未知的威胁演员,称为“TENSHO”或“White Tur”。该攻击者至少自 2017 年以来一直活跃,并使用各种独特的技术和工具,包括武器化文档、HTA 和 PowerShell 脚本、Windows 可执行文件以及模仿政府网站的网络钓鱼页面。
在其他工具中,TENSHO 使用 OpenHardwareMonitor 开源项目,其合法目的是监控设备温度、风扇速度和其他硬件健康数据。威胁参与者传播了一个恶意 OpenHardwareMonitor 程序包,该程序包旨在以 PowerShell 脚本或 Windows 二进制文件的形式传递 TENSHO 的恶意软件。
迄今为止,尚未发现该威胁参与者与任何已知的 APT 组织之间存在联系。TENSHO 针对塞尔维亚和塞族共和国(波斯尼亚和黑塞哥维那的一个实体)内部的组织,表明其具有非常具体的区域利益。由于许多方面可能有兴趣瞄准这些地区,因此很难确定威胁的原因。
7. PlexingEagle
在阿姆斯特丹举行的 HITBSec 2017 会议期间,Emmanuel Gadaix 展示了一个非常有趣的 GSM 网络间谍工具集的发现,该工具集可能由非常先进的威胁参与者部署,在客户系统的例行安全扫描中发现。
该妥协最初是由 Gadaix 的团队在一台 Solaris 10 机器上发现的,该机器被参与者用作操作基地。从那里,攻击者利用 GSM 基础设施和网络的先进知识来修补执法部门通常用于窃听电话的功能,以实施他们自己的拦截感兴趣电话的机制。入侵中使用的恶意软件是使用 LUA 编写的,我们看到其他高级威胁参与者使用的语言,例如 Flame 和 Project Sauron 背后的威胁参与者。在他的演讲中,Gadaix 暗示了此案与所谓的“雅典事件”之间的许多相似之处,这两起事件是唯一已知的威胁行为者实际上在野外被捕的案例。
8. 新索诺 SinSono
2021 年 5 月,为 At&T、Verizon、T-Mobile 等运营商提供短信路由服务的电信公司 Syniverse 检测到对其 IT 系统的未经授权访问。一项内部调查显示,一个未知的对手于 2016 年首次侵入 Syniverse 的基础设施。五年来,他们一直未被发现,访问了内部数据库,并设法破坏了公司电子数据传输 (EDT) 环境的大约 235 名客户的登录凭据。通过这些帐户,攻击者可以访问高度敏感的消费者数据,例如通话记录和短信内容。
尽管该公司为所有 EDT 客户重置或停用了凭据,并联系了受影响的组织,但仍然存在许多问题:例如,参与者是否真的窃取了敏感数据。尽管公司本身和一些依赖其服务的运营商没有看到重大违规的迹象,也没有试图破坏他们的流程,但我们既不知道参与者是谁,也不知道他们的目标是什么。我们对与攻击相关的数据的分析表明,我们高度关注和关注操作安全并确保难以归因。
9. MagicScroll(又名 AcidBox)
MagicScroll 是一个复杂的恶意框架,于 2019 年由 Palo Alto 的 Unit 42首次检测到。它是一种多阶段恶意软件,只有少数已知样本和一个已知受害者,位于俄罗斯并于 2017 年受到攻击。MagicScroll 的初始感染阶段不见了。第一个已知阶段是作为安全支持提供程序创建的加载程序,这是一个通常提供某些安全功能(例如应用程序身份验证)的 DLL。MagicScroll 滥用此功能来实现对 lsass.exe 进程的注入以及可能的持久性。
加载器的主要目的是解密和加载存储在注册表中的下一阶段模块。该模块利用VirtualBox驱动漏洞在内核模式下加载未签名的恶意驱动。根据 Unit 42 的说法,之前在Turla行动中观察到了对该漏洞的利用,但没有迹象表明新参与者与该组织有任何联系。Unit 42 也发现了与ProjectSauron的一些松散的相似之处,但他们表示这些都太弱了,无法考虑将两个活动联系起来。我们也没有发现 MagicScroll 与任何其他已知 APT 之间有任何联系。
10. 美多多 Metador
Metador 威胁行为者于 2022 年 9 月由 SentinelLabs首次公开描述。它主要针对中东和非洲多个国家的 ISP、电信公司和大学;至少有一名受害者遭到近十个不同的 APT 组织的攻击。
Metador 运行两个名为“metaMain”和“Mafalda”的恶意软件平台,它们完全部署在内存中。metaMain 平台是一个功能丰富的后门,它为威胁参与者提供了对受感染系统的长期访问权限。它可以记录键盘和鼠标事件、截屏、下载和上传文件以及执行任意 shellcode。
Mafalda 是一个正在积极开发的后门。其最新版本的编译时间戳为 2021 年 12 月。它具有多项反分析技术,支持 67 条命令,比之前版本的恶意软件多 13 条。
除了典型的后门功能外,metaMain 和 Mafalda 还能够与其他(未知)植入物建立连接并与这些植入物交换数据。其中一个植入程序称为“Cryshell”,充当 metaMain 或 Mafalda 与 C2 之间的中间服务器。有理由相信存在未知的 Linux 植入程序,可以将从 Linux 机器收集的数据发送到 Mafalda。
尚未确定 Metador 背后的演员是谁以及他们的目标是什么。旨在长时间不被发现的复杂恶意软件表明这是由高端威胁参与者发起的网络间谍活动。至少有一些 C2 响应是西班牙语,这可能表明该演员或其某些开发人员会说西班牙语。此外,在 Metador 的恶意软件中还发现了一些文化参考,包括英国流行朋克歌词和阿根廷政治漫画。痕迹的多样性使得很难确定它在哪个国家的利益中运作——如果有的话。假设之一是该集团是一家高端承包商。
高级威胁参与者使用一切可能的手段来保持不被发现,并且如果被抓住也无法归咎。
安全研究人员会时不时地揭露一场神秘的活动,该活动多年来一直未被发现,而且几乎不可能确切地追溯到其赞助者。
这篇文章中描述的十个故事只是我们多年来看到的许多未归类的谜团中的一部分。
这就是为什么在网络安全社区内讨论它们并分享关于它们的数据很重要的原因。
原文始发于微信公众号(网络研究院):前十名未知归属的APT谜团
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
https://cn-sec.com/archives/1340705.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论