2021年第二季度全球APT趋势报告(一)
2021-08-08
来源:嘶吼专业版
四年多来,卡巴斯基的全球研究和分析团队(GReAT)一直在发布高级持续威胁(APT)活动的季度报告。
最值得注意的发现
在调查最近的Microsoft Exchange漏洞时,研究人员和来自AMR的同事发现一个攻击者部署了一个之前不为人知的后门“FourteenHi”,研究人员将其命名为ExCone,该活动自3月中旬开始活跃。在调查过程中,研究人员发现了FourteenHi的多种工具和变体,FireEye报告的基础设施与UNC2643活动集群相关。此外,研究人员发现ShadowPad检测与FourteenHi变种攻击相一致,这可能暗示了这两个恶意程序家族之间的共享操作。
FourteenHi滥用流行的VLC媒体播放器来执行它的加载程序,可以执行基本的后门功能。进一步的调查还揭示了攻击者在使用后获得态势感知的脚本,以及之前使用的基础设施来操作Cobalt Strike信标。
尽管研究人员不能直接将此行为归因于任何已知的威胁因素,但研究人员发现了与ShadowPad恶意程序密切相关的较老的、高度相似的64位后门样本,主要以其涉及供应链攻击的操作为攻击载体而闻名。值得注意的是,研究人员还发现在 UNC2643 活动集中使用的 64 位样本中使用了一个 C2 IP,与 HAFNIUM 攻击者相关,也使用 Cobalt Strike、DLL 侧加载和利用相同的 Exchange 漏洞。
俄语地区的 APT活动
5月27日和28日,Volexity和微软公布了一项针对欧洲和北美外交机构的持续电子邮件行动的细节。这些攻击分别来自微软的Nobelium和Volexity的APT29。虽然研究人员确认了恶意程序和可能的攻击目标,但目前研究人员还无法确定是哪个攻击者所为,尽管研究人员发现了与Kazuar的联系。研究人员认为它为新的攻击者并命名为“HotCousin”,攻击开始于一个鱼叉式钓鱼电子邮件,导致ISO文件容器存储在磁盘上并挂载。这样,受害者就会看到一个LNK文件,看起来像资源管理器窗口中的一个文件夹。如果受害者双击它,LNK 就会执行一个用 .NET 编写的加载程序,称为 BoomBox 或 DLL。执行链最终以 Cobalt Strike 信标有效载荷加载到内存中结束。根据公开的研究,攻击目标很普遍,但主要集中在欧洲和北美的外交机构:根据与恶意程序捆绑在一起的诱饵文件的内容,这种评估似乎是准确的。这一家族活动从 1 月就开始了,有选择性地瞄准目标,行动速度缓慢,然后逐渐增加并在 5 月结束。根据其他带有类似工具标记的Cobalt Strike有效载荷和加载程序,有迹象表明,这一攻击者此前的活动至少可以追溯到2020年10月。
华语地区的 APT活动
在调查最近针对 Exchange 服务器的攻击事件时,研究人员注意到在几个不同的受攻击网络中出现了重复出现的活动集群。这个集群之所以引人注目,是因为它使用了一个以前未知的 Windows 内核模式 rootkit 和一个复杂的多阶段恶意程序框架,旨在提供对受攻击服务器的远程控制。前者用于向调查人员和安全解决方案隐藏用户模式恶意程序的人工制品,同时展示了一个有趣的加载方案,该方案涉及名为“Cheat Engine”的开源项目的内核模式组件,以绕过 Windows 驱动程序签名强制机制。研究人员能够确定,该工具集早在2020年7月就已经在使用,并且主要针对东南亚目标,包括几个政府机构和电信公司。由于这是一项长期存在的操作,具有备受瞩目的受害者、先进的工具集,另外它与已知的攻击者没有关联,因此研究人员决定将底层集群命名为“GhostEmperor”。
APT31(又名ZIRCONIUM)是一个中文黑客程序。该攻击者建立了一个 ORB(操作中继盒)基础设施,由几个受攻击者的 SOHO 路由器组成,以针对位于欧洲(可能还有其他地方)的机构。截至 5 月份发布报告时,研究人员已经看到这些 ORB 用于中继 Cobalt Strike 通信和匿名代理目的。APT31 很可能将它们用于其他植入和结束,例如,漏洞利用或恶意程序暂存。APT31 部署的大部分基础设施包括受攻击者的 Pakedge 路由器(RK1、RE1 和 RE2)。这个鲜为人知的开发者专门从事小型企业路由器和网络设备。到目前为止,研究人员不知道恶意攻击程序利用了哪个特定漏洞来破坏路由器。研究人员目前也没有办法来进一步了解此活动,当然,他们将继续跟踪这些活动。
在研究人员之前关于 EdwardsPhesant 的报告之后,DomainTools 和 BitDefender 发表了关于针对东南亚目标的恶意活动的文章,研究人员相信这些文章是 EdwardsPhesent 活动的一部分,可信度非常高。在跟踪该攻击者的活动、分析第三方发现或提供的样本以及从公共IoC 进行调查的同时,研究人员发现了一个更新的 DropPhone 植入程序、一个由 FoundCore 的 shellcode 加载的附加植入程序、几个可能的新攻击文档和恶意域名,以及其他目标。虽然研究人员不认为研究人员对这组活动有一个完整的了解,但研究人员本季度的报告标志着在了解其范围方面又迈出了重要的一步。
2 月份,一个带有中文标识符的 APT 入侵了蒙古的一家证书颁发机构,并用恶意下载程序替换了数字证书管理客户端软件。研究人员以 BountyGlad 的身份跟踪这个组织的活动,相关基础设施被识别并用于其他多个事件,比如对香港 WebSphere 和 WebLogic 服务的服务器端攻击;在客户端,木马化 Flash Player 安装程序。通过这次供应链攻击,该组织展示了其复杂的战略性攻击特征。虽然在像证书颁发机构这样的高价值网站上更换合法安装程序需要中等水平的技能和协调,但其技术复杂程度与 ShadowHammer 不相上下。虽然该组织部署了相当有趣但简单的隐写术来掩盖其 shellcode,但研究人员认为它可能是使用多年来公开可用的代码生成的。在 2020 年期间,先前与该组织相关的活动也严重依赖鱼叉式网络钓鱼和 Cobalt Strike。一些活动涉及 PowerShell 命令和加载程序变体,与研究人员最近报告中提供的下载程序不同。除了鱼叉式网络钓鱼外,该组织似乎还依靠公开可用的漏洞来渗透未打补丁的目标系统。他们使用植入程序和 C2(命令和控制)代码,这些代码是公开可用的和在多个讲中文的 APT 之间私下共享的组合。研究人员能够跨多个事件连接基础设施。其中一些重点是 2020 年的西方目标。BountyGlad 也使用了 2020 年 5 月发布的 FBI Flash警报中列出的一些基础设施,这些基础设施针对的是进行 COVID-19 研究的美国组织。
在调查攻击了 TPCon 后门的用户时,研究人员检测到了加载程序,这是一个新的多插件恶意程序框架的一部分,研究人员命名为“QSC”,它允许攻击者在内存中加载和运行插件。 基于受害者学和基础设施与这些群体使用的其他已知工具的一些重叠,研究人员将此框架的幕后研发者归因到华语地区的一个组织。到目前为止,研究人员已经观察到恶意程序在内存中加载了命令外壳和文件管理器插件。根据发现的最古老样本的编译时间戳,研究人员认为该框架自2020年4月以来已经在野外使用。然而,研究人员的跟踪表明该框架仍在使用中,研究人员检测到的最新活动是在今年 3 月。
本月早些时候,Rostelecom Solar 和 NCIRCC 发布了一份联合公开报告,描述了针对俄罗斯政府机构网络的一家族攻击。该报告描述了一个以前未知的攻击者利用攻击链导致部署两个植入程序——WebDav-O 和 Mail-O。这些与其他后利用活动相结合,已导致目标组织中的网络范围攻击,从而导致敏感数据被泄露。研究人员能够在追踪分析中将 WebDav-O 植入程序的活动追溯到至少 2018 年,这是一次针对白俄罗斯政府的攻击。根据研究人员的调查,研究人员能够找到恶意程序的其他变体,并观察攻击者在被攻击的设备上执行的一些命令。
研究人员发现了一家族针对特定区域内的电信运营商的活动,大部分活动发生在 2020 年 5 月至 2020 年 10 月。该活动虽然使用了多个恶意程序家族和工具,但是基础设施、暂存目录和国内目标配置文件显示它们之间还是有联系的。攻击者部署了一个以前未知的后门作为主要植入程序,研究人员称之为“TPCon”。它后来被用于在目标组织内执行侦察和部署主要由公开可用工具组成的后攻击工具集。研究人员还发现了其他以前未知的活动后门,研究人员称之为“evsroin”,用作二次植入程序。另一个有趣的发现是一个相关的加载程序(在暂存目录中找到),它加载了 KABA1 植入变体。KABA1 是一种用于攻击整个南海目标的植入程序,研究人员将其归因于 2016 年的 Naikon APT。另一方面,在受影响的主机上,研究人员发现了其他多个由华语地区攻击者共享的恶意程序家族,例如 ShadowPad 和 Quarian 后门。这些似乎与TPCon/evsroin事件没有直接联系,因为支持基础设施似乎是完全独立的。其中一个ShadowPad样本似乎是在2020年被检测到的,而其他样本则在2019年被检测到。除了 Naikon 之外,研究人员还发现与之前报道的 IceFog 和 IamTheKing 活动存在一些重叠。