2022年第3季度IT威胁演变

admin
admin
admin
102350
文章
87
评论
2022年11月30日10:41:33评论24 views字数 3515阅读11分43秒阅读模式

关键词

固件rootkit、勒索软件、APT


1. CosmicStrand


今年7月,研究人员报告了其在统一可扩展固件接口(UEFI)固件中发现的rootkit,该代码在计算机打开时加载并启动引导过程,即使重新启动操作系统或更换硬盘,该rootkit也会保留在受害者的计算机上。
UEFI固件的任务是启动计算机,包括加载操作系统。因此,如果固件被恶意代码污染,该代码将在操作系统启动之前加载,这使得大多数安全措施和操作系统级防御对其失去作用。
CosmicStrand会在漫长的引导过程完成之后运行一个shellcode,并联系攻击者的C2(命令和控制)服务器,从服务器接收有效的恶意载荷。

2022年第3季度IT威胁演变

图 1:CosmicStrand执行过程
研究人员虽未能截获CosmicStrand从C2服务器接收到的文件,但在一台受感染的机器上发现了可能与CosmicStrand相关的恶意软件,该恶意软件可以在操作系统中创建具有本地管理员权限的用户。
这种固件rookit最早可以溯源到一个未知的APT行为者,其目标主要是越南、伊朗的一些普通个人用户。研究人员指出,在所有已知情况下感染的主板仅来自两家制造商。因此,攻击者很可能在这些主板中发现一些常见的漏洞,使得固件感染成为可能。
目前,CosmicStrand的感染方式依然是未知的,攻击者有可能远程修改固件,也有可能用户在购买时机器已经被感染。
虽然创建这种rootkit存在很大的技术挑战,最细微的编程错误就可能使机器崩溃,但在研究人员关于2022年APT攻击的预测中,越来越多的攻击者将会达到开发这一工具的水平。
2. 部署Maui勒索软件


7月6日,美国网络安全和基础设施安全局(CISA)发布警报,指责朝鲜政府支持的攻击者使用Maui勒索软件攻击其医疗保健和公共卫生部门。虽然CISA没有提供任何证据来证实其归属,但研究人员确定,在将Maui部署到初始目标系统的大约10小时前,该组织向目标部署了众所周知的DTrack恶意软件的变体,几个月前又部署了3proxy,而DTrack的主要使用者为使用韩语的APT组织Andariel,因此,研究人员有一定的把握,认为此次攻击事件与该组织有关。
Andariel的主要工具是DTrack,用于收集有关目标的信息,并将其发送到远程主机,假如这些攻击使用的是DTrack的变体,则将相关信息存储在目标网络中的远程主机上。当攻击者发现值得注意的数据时,将会部署Maui勒索软件。通常在激活DTrack 10小时后在目标主机上能够检测到Maui。
攻击者还使用另一种名为3Proxy的工具来维护对目标计算机的远程访问。
为了感染目标系统,攻击者利用公共在线服务的未修补版本进行攻击。在一种情况下,攻击者利用未知漏洞从远程服务器运行PowerShell脚本,通过HFS(HTTP文件服务器)下载恶意软件。另一种情况下,攻击者利用 CVE-2017-10271漏洞攻击WebLogic服务器,最终允许服务器运行脚本。
研究人员指出,Andariel的目标不是某个特定行业,而是任意一家公司。研究人员发现了至少一起针对日本一家住房公司的攻击,以及其它对于印度、越南等国的几起攻击。
3. 对货币交易持续打击


2020年8月下旬,研究人员发布了DeathStalker及其活动的概述,包括Janicab、Evilnum和PowerSing等活动。研究人员认为DeathStalker是一个黑客雇佣组织,提供雇佣黑客或者充当信息中间人进行情报交易的服务。
同时,在2020年8月,研究机构还为其威胁情报客户发布了一份关于VileRAT的私人报告。VileRAT是一种Python植入程序,是针对外汇和加密货币交易公司的高度复杂攻击活动的一部分。自2020 年 6 月以来,DeathStalker攻击者一直在不断利用和更新VileRAT恶意软件,以攻击外汇和加密货币交易公司。

VileRAT 感染链如下:

2022年第3季度IT威胁演变

图 2:VileRAT攻击链
VileRAT具有强大的逃避检测的能力,它是在DeathStalker中发现的最错综复杂、采用最多混淆措施的攻击手段。从对VBA和JavaScript的最新混淆方法,到Python的多层和底层加壳,构成了一个强大的、能够绕过特定安全厂商启发式检测的多阶段内存PE加载程序,除此之外,DeathStalker还开发了一个庞大且快速变化的基础设施,这使得对VileRAT本身的检测变得十分困难。
然而,VileRAT也存在一些不足之处,其最终有效载荷大小超过10MB,简单的感染媒介,大量可疑的通信流量,混乱且易于识别的进程执行、文件部署,以及开发实践留下的许多需要频繁更新维护的bug,都可以被有效的端点保护方案所识别。
研究人员使用经技术验证的数据,确定了自2020年以来DeathStalker危害或攻击的10个组织,主要位于保加利亚、塞浦路斯、德国、格林纳丁斯、科威特、马耳他和阿联酋。

DeathStalker的业务范围包括职业调查、资产追回、在诉讼或仲裁案件中收集信息、帮助客户逃脱制裁、监视目标客户等,然而,这似乎不是直接的财政收益,DeathStalker针对这些组织的真实意图依然不为人知。

4. GoldDragon集群和C2运维


Kimsuky是一个活跃的APT攻击组织,其主要的攻击目标为韩国境内实体机构。同其他APT组织一样,该组织也会频繁更新迭代攻击工具。近期,研究人员有机会调查攻击者如何配置其GoldDragon集群,以及它使用何种技巧来确认其受害者。

2022年第3季度IT威胁演变

图 3:Kimsuky C2服务器架构
Kimsuky配置了多阶段C2服务器,在全球提供各种商业托管服务。
攻击分几个阶段进行:
  • 首先,攻击者向潜在受害者发送钓鱼电子邮件,诱使其下载其他文件。
  • 如果受害者点击链接,则连接第一阶段C2服务器,同时将邮箱地址作为参数传递给C2。
  • 第一阶段C2服务器会验证传入的邮箱地址参数,如果此邮箱地址在目标列表中,就会回传恶意文档。第一阶段脚本还将受害者的IP地址转发到下一阶段服务器。
  • 当目标打开获取到的文档时,它将连接到第二阶段C2服务器。第二阶段C2服务器上的对应脚本检查从第一阶段服务器转发的IP地址,以验证它是否是来自同一受害者的预期请求。
  • 除此之外,攻击者会使用其他多个进程传递下一阶段的攻击载荷。
  • 第二阶段C2服务器上的另一个C2脚本检查操作系统类型和预定义的用户代理字符串,以过滤出来自安全研究人员或自动分析系统的请求。

2022年第3季度IT威胁演变

图 4:Kimsuky的GoldDragon集群感染链
根据诱骗文件的内容,研究人员猜测这次行动的目标是与政治或外交活动有关的个人或实体。从历史上看,政客、外交官、记者和教授一直是Kimsuky组织的主要目标,来自C2脚本的电子邮件地址名称也有助于证实这一假设。

安全人员的研究强调了Kimsuky如何确认受害者并向他们提供下一阶段有效载荷,同时采取措施使安全人员的分析变得困难。

5. 针对工业企业的攻击


2022年8月,卡巴斯基ICS CERT专家报告说,白俄罗斯、乌克兰和阿富汗的军事工业综合企业和公共机构遭到一波有针对性的袭击。今年早些时候发生的袭击事件影响到工厂、设计局和研究机构、政府机构、部委等多个部门。研究人员识别了十几个目标,并观察到与威胁者TA428的TTP(战术、技术和程序)存在显著重叠。
攻击者通过精心编制的网络钓鱼电子邮件进入企业网络,邮件中包含一些非公开的信息,这表明攻击者在之前进行了侦察,或者该信息来自对与目标有关联的其他组织的早期攻击。附在钓鱼邮件上的Microsoft Word文档中包含CVE-2017-11882漏洞利用程序,该漏洞为缓冲区溢出漏洞,攻击者可以利用其执行任意代码。

2022年第3季度IT威胁演变

图 5:攻击链
可能是出于保险考虑,攻击者同时使用了五个不同的后门,它们为控制受感染的系统和收集机密数据提供了广泛的功能。

一旦获得初始访问权,攻击者就试图横向移动到网络上的其他计算机。获得域管理员权限后,他们将搜索并将敏感数据传送到托管在不同国家的服务器,这些服务器也用作第一阶段C2服务器。攻击者将盗取的机密文件压缩到加密保护的ZIP中。收到数据后,第一阶段C2服务器将该压缩文件转发至第二阶段服务器。



END

参考链接:https://securelist.com/it-threat-evolution-q3-2022/107957/


编辑|黄禧敏

审校|何双泽、金矢

本文为CNTIC编译整理,不代表本公众号观点,转载请保留出处与链接。联系信息进入公众号后点击“关于我们”可见。

2022年第3季度IT威胁演变


原文始发于微信公众号(国家网络威胁情报共享开放平台):2022年第3季度IT威胁演变

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年11月30日10:41:33
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   2022年第3季度IT威胁演变https://cn-sec.com/archives/1434175.html

发表评论

匿名网友 填写信息