一份新的報(bào)告稱，最近一系列的針對(duì)電子游戲公司的勒索軟件攻擊與臭名昭著的APT27威脅組織有密切的關(guān)系，這表明高級(jí)持續(xù)性威脅(APT)正在改變過(guò)去的間諜集中戰(zhàn)術(shù)，轉(zhuǎn)而采用勒索軟件進(jìn)行攻擊。

研究人員注意到此次攻擊與APT27的 "密切聯(lián)系"，它們作為供應(yīng)鏈攻擊的一部分，它們被引入了去年影響全球主要游戲公司的勒索軟件攻擊事件的名單中。這些事件的細(xì)節(jié)(包括具體的公司名稱和時(shí)間)很少。然而，雖然研究人員告訴Threatpost，他們無(wú)法說(shuō)出具體的被攻擊的游戲公司的名字，但他們表示已經(jīng)有五家公司受到了攻擊的影響。更重要的是，其中兩家受影響的公司是 "世界上最大的公司之一"。

研究人員表示，APT27(又稱Bronze Union、LuckyMouse和Emissary Panda)，據(jù)說(shuō)是在中國(guó)境內(nèi)運(yùn)營(yíng)的一個(gè)威脅組織，自2013年以來(lái)就一直存在。 該組織向來(lái)是利用開(kāi)源的工具來(lái)接入互聯(lián)網(wǎng)，其攻擊目的是為了收集政治和軍事情報(bào)。而且，它此前一直在做網(wǎng)絡(luò)間諜和數(shù)據(jù)竊取方面的攻擊，而不是僅僅為了金錢利益而發(fā)動(dòng)攻擊。

Profero和Security Joes的研究人員在周一的聯(lián)合分析中指出："此前，APT27并不是為了經(jīng)濟(jì)利益而發(fā)動(dòng)攻擊，因此此次采用勒索軟件的攻擊策略是很不同尋常的。然而此次事件發(fā)生時(shí)，正值COVID-19在中國(guó)國(guó)內(nèi)流行，因此轉(zhuǎn)為為了經(jīng)濟(jì)利益而發(fā)動(dòng)攻擊也就不足為奇了。"

供應(yīng)鏈攻擊

研究人員還表示，此次攻擊是通過(guò)第三方服務(wù)商來(lái)進(jìn)行攻擊的，而且該服務(wù)商此前曾被另一家第三方服務(wù)商感染。

在對(duì)該安全事件進(jìn)行更深一步的調(diào)查后，研究人員發(fā)現(xiàn)惡意軟件樣本與2020年初的一個(gè)名為DRBControl的攻擊活動(dòng)有關(guān)。趨勢(shì)科技的研究人員此前發(fā)現(xiàn)了這個(gè)攻擊活動(dòng)，指出它與APT27和Winnti供應(yīng)鏈攻擊團(tuán)伙有密切聯(lián)系。DRBControl后門攻擊的特點(diǎn)是，它通過(guò)滲透攻擊非法的賭博公司，并使用Dropbox對(duì)其進(jìn)行指揮控制(C2)通信。

Profero和Security Joes的研究人員在最近的攻擊活動(dòng)中發(fā)現(xiàn)了和DRBControl "非常相似的樣本"(他們稱之為 "Clambling "樣本，不過(guò)這個(gè)變種并沒(méi)有Dropbox的功能。)

研究人員發(fā)現(xiàn)，DRBControl以及PlugX樣本 ，都會(huì)使用Google Updater可執(zhí)行文件來(lái)使自己加載到內(nèi)存中，然而該可執(zhí)行文件很容易受到DLL側(cè)載攻擊(側(cè)載是指使用惡意DLL欺騙合法DLL，然后依靠合法Windows可執(zhí)行文件執(zhí)行惡意代碼的過(guò)程)。研究人員表示，這兩個(gè)樣本都使用了經(jīng)過(guò)簽名的Google Updater，兩個(gè)DLL都被標(biāo)記為goopdate.dll。

研究人員說(shuō)："這兩個(gè)樣本的每一個(gè)樣本都有一個(gè)合法的可執(zhí)行文件，一個(gè)惡意DLL和一個(gè)由shellcode組成的二進(jìn)制文件，它們負(fù)責(zé)從自身提取有效載荷并在內(nèi)存中進(jìn)行運(yùn)行"。

網(wǎng)絡(luò)攻擊者會(huì)通過(guò)對(duì)第三方公司進(jìn)行滲透并獲得了該公司系統(tǒng)的一個(gè)傀儡機(jī)后，為了協(xié)助橫向移動(dòng)攻擊，會(huì)再部署一個(gè)ASPXSpy webshell。

研究人員表示，此次事件中另一個(gè)特點(diǎn)是攻擊的過(guò)程中使用了BitLocker對(duì)核心服務(wù)器進(jìn)行加密，BitLocker是Windows中內(nèi)置的一個(gè)驅(qū)動(dòng)器加密工具。

他們說(shuō)："這個(gè)是很有趣的，因?yàn)樵谠S多情況下，攻擊者會(huì)將勒索軟件投放到受害者的機(jī)器上，而不是直接使用本地工具進(jìn)行攻擊"。

APT27的線索

研究人員觀察到此次攻擊與APT27在戰(zhàn)術(shù)、技術(shù)和程序(TTPs)方面都存在著"極強(qiáng)的聯(lián)系"。

研究人員舉例說(shuō)，他們發(fā)現(xiàn)DRBControl樣本和之前已確認(rèn)的APT27攻擊程序之間有很多相似之處。此外，活動(dòng)中使用的ASPXSpy webshell的修改版本此前也曾出現(xiàn)在APT27的網(wǎng)絡(luò)攻擊中。而在發(fā)現(xiàn)后門文件的同時(shí)，研究人員還發(fā)現(xiàn)了一個(gè)利用CVE-2017-0213升級(jí)權(quán)限進(jìn)行攻擊的二進(jìn)制文件，CVE-2017-0213是APT27之前使用過(guò)的微軟Windows服務(wù)器的一個(gè)漏洞。

研究人員表示："APT27過(guò)去曾利用這個(gè)漏洞來(lái)進(jìn)行升級(jí)權(quán)限。”

Profero首席執(zhí)行官Omri Segev Moyal告訴Threatpost，除了與之前APT27使用的工具庫(kù)相匹配之外，研究人員還注意到了與之前APT27發(fā)動(dòng)攻擊的代碼的相似性很高;而且，這次攻擊所使用的域和之前其他的APT27相關(guān)的攻擊有很高的匹配度。

研究人員還指出，此次攻擊的各種流程與之前的APT27攻擊有相似之處，包括用來(lái)執(zhí)行不同函數(shù)的方法所使用的參數(shù)數(shù)量，以及使用DLL側(cè)載攻擊方法，主要的有效載荷存儲(chǔ)在一個(gè)單獨(dú)的文件中等等特征。

本文翻譯自：https://threatpost.com/ransomware-major-gaming-companies-apt27/162735/如若轉(zhuǎn)載，請(qǐng)注明原文地址。