[[398453]]

卡巴斯基全球研究與分析團(tuán)隊(duì)(GReAT)四年來一直都在持續(xù)關(guān)注并發(fā)布關(guān)于高級(jí)持續(xù)攻擊(APT)活動(dòng)的季度報(bào)告。這些報(bào)告是基于研究人員的持續(xù)攻擊情報(bào)分析，本文會(huì)對(duì)相關(guān)的發(fā)現(xiàn)做更詳細(xì)和細(xì)致的研究。

[[398454]]

APT的攻擊趨勢分析

去年12月，著名的IT托管服務(wù)提供商SolarWinds遭受了復(fù)雜的供應(yīng)鏈攻擊。該公司的Orion IT(一種用于監(jiān)視和管理客戶的IT基礎(chǔ)架構(gòu)的解決方案)遭到了攻擊。這導(dǎo)致在北美、歐洲、中東和亞洲的18000多個(gè)SolarWinds客戶網(wǎng)絡(luò)(包括許多大型公司和政府機(jī)構(gòu))上被部署了名為Sunburst的自定義后門。在有關(guān)Sunburst的初始報(bào)告中，研究人員仔細(xì)檢查了該惡意程序用于與其C2(命令和控制)服務(wù)器通信的方法以及用于升級(jí)對(duì)受害者以進(jìn)一步利用的攻擊方法。對(duì)Sunburst后門的進(jìn)一步調(diào)查顯示，一些功能與先前確定的后門——Kazuar有重疊之處，Kazuar于2017年首次被發(fā)現(xiàn)，有人認(rèn)為與Turla APT組織有關(guān)。 Sunburst和Kazuar之間的共享功能包括受害者UID生成算法，其算法中的代碼相似性以及FNV1a哈希廣泛用于混淆字符串比較的功能。有幾種可能性：Sunburst可能是和Kazuar一起由同一組織開發(fā)的或者Sunburst的開發(fā)人員可能已經(jīng)采納了Kazuar的一些想法或代碼或者兩組都從同一來源獲得了惡意程序或者一些Kazuar開發(fā)人員已經(jīng)將隨身攜帶的經(jīng)驗(yàn)和知識(shí)轉(zhuǎn)移到另一個(gè)開發(fā)團(tuán)隊(duì)了，或者Sunburst的開發(fā)者引入這些鏈接作為一種虛假標(biāo)志。下面將做進(jìn)一步分析。

3月2日，微軟報(bào)告了一個(gè)名為HAFNIUM的APT攻擊，該攻擊利用了Exchange Server中的四個(gè)零日漏洞進(jìn)行了所謂的“有限和有針對(duì)性的攻擊”。當(dāng)時(shí)，微軟聲稱，除了HAFNIUM之外，其他一些攻擊組織也正在利用它們發(fā)起了攻擊。同時(shí)，Volexity還報(bào)告了2021年初使用相同的Exchange零日漏洞的情況。根據(jù)Volexity的追蹤分析，除微軟報(bào)告的HAFNIUM之外，還報(bào)告了一些攻擊組織之間正共享一些正在使用的漏洞?？ò退够粉櫦夹g(shù)揭示了在微軟公開披露并修補(bǔ)此漏洞后，針對(duì)這些漏洞的利用嘗試激增。在3月的第一周，研究人員確定了大約1400臺(tái)目標(biāo)服務(wù)器，其中使用了一個(gè)或多個(gè)漏洞來進(jìn)行初始訪問。在發(fā)布這份報(bào)告之前，研究人員于2月28日在不到十二個(gè)Exchange系統(tǒng)上確定了相關(guān)的漏洞利用;研究人員還發(fā)現(xiàn)了超過12個(gè)偽造的Exchange文件，表明該文件已經(jīng)被攻擊組織上傳到了多個(gè)掃描服務(wù)中。根據(jù)研究人員的追蹤，在歐洲和美國觀察到了大多數(shù)利用服務(wù)器的嘗試。其中一些服務(wù)器多次被不同的攻擊組織(基于命令執(zhí)行模式)攻擊，這表明這些漏洞現(xiàn)在可以被多個(gè)組織使用。

自3月中旬以來，研究人員還發(fā)現(xiàn)了一項(xiàng)針對(duì)俄羅斯聯(lián)邦政府的活動(dòng)，該活動(dòng)使用了上述Exchange零日漏洞。該活動(dòng)利用了一個(gè)以前未知的惡意程序家族，研究人員將其稱為FourteenHi。進(jìn)一步的調(diào)查顯示了追溯到一年前這種惡意程序變體的活動(dòng)痕跡，研究人員還發(fā)現(xiàn)，在同一時(shí)間范圍內(nèi)，與HAFNIUM進(jìn)行的這些活動(dòng)集在基礎(chǔ)架構(gòu)和TTP以及ShadowPad惡意程序的使用方面存在一些重疊。

歐洲的APT攻擊趨勢分析

在對(duì)FinFisher間諜程序工具進(jìn)行常規(guī)分析期間，研究人員發(fā)現(xiàn)了最近針對(duì)FinFly Web部署的跟蹤。特別是，研究人員發(fā)現(xiàn)使用FinFly Web生成的兩臺(tái)帶有Web應(yīng)用程序的服務(wù)器。本質(zhì)上，F(xiàn)inFly Web是實(shí)現(xiàn)基于Web的利用服務(wù)器的一組工具和程序包。在Gamma Group遭到黑客攻擊后，它于2014年首次被公開。在2019年10月至2020年12月之間，其中一臺(tái)可疑的FinFly Web服務(wù)器處于活躍狀態(tài)已超過一年。在去年12月研究人員發(fā)現(xiàn)后的第二天，該服務(wù)器已被禁用。盡管如此，研究人員仍然能夠捕獲其登錄頁面的副本，其中包括用于使用以前未知的代碼來描述受害者的JavaScript。在第二種情況下，托管FinFly Web的服務(wù)器在發(fā)現(xiàn)之時(shí)已經(jīng)脫機(jī)，因此研究人員使用可用的歷史數(shù)據(jù)得出了結(jié)論。事實(shí)證明，它在2020年9月前后的很短時(shí)間內(nèi)在主機(jī)上處于活動(dòng)狀態(tài)，該主機(jī)似乎冒充了流行的Mail.ru服務(wù)。令人驚訝的是，該服務(wù)器于1月12日再次開始回應(yīng)查詢。到目前為止，研究人員還沒有看到這些網(wǎng)頁刪除任何相關(guān)的有效載荷。

俄語地區(qū)的APT攻擊趨勢分析

Kazuar是通常與Turla攻擊組織(又名Snake和Uroboros)相關(guān)聯(lián)的.NET后門。最近，Kazuar由于與Sunburst后門的相似之處而重新受到關(guān)注。盡管Kazuar的功能已經(jīng)被多次公開，但是有關(guān)此后門的許多深入研究實(shí)并未公開。研究人員的最新報(bào)告重點(diǎn)關(guān)注攻擊組織對(duì)該后門的9月和11月版本所做的更改。

2月24日，烏克蘭國家安全防御委員會(huì)(NSDC)公開警告說，攻擊組織已經(jīng)利用國家文件傳播系統(tǒng)(SEI EB)向?yàn)蹩颂m公共當(dāng)局傳播了惡意文件。該警報(bào)包含一些相關(guān)的網(wǎng)絡(luò)IoC，并指定特定文檔使用了惡意宏，以便將植入程序傳播到目標(biāo)系統(tǒng)上。多虧了共享的IoC，研究人員才能夠非常確定地將這次攻擊歸因于Gamaredon攻擊組織?？ò退够鶑?月份開始就將NSDC提到的惡意服務(wù)器IP稱為Gamaredon基礎(chǔ)架構(gòu)。

1月27日，法國國家網(wǎng)絡(luò)安全機(jī)構(gòu)(ANSSI)發(fā)布了一份報(bào)告，描述了針對(duì)2017年至2020年之間公開暴露和過時(shí)的Centreon系統(tǒng)的攻擊活動(dòng)，目的是部署Fobushell(又名 P.A.S.)webshell和Exaramel植入程序。 ANSSI將活動(dòng)與Sandworm攻擊集(研究人員稱為Hades)聯(lián)系在一起。盡管研究人員專門尋找了其他受攻擊的Centreon系統(tǒng)、Exaramel植入程序樣本或相關(guān)基礎(chǔ)設(shè)施，但仍無法檢索到任何有用的痕跡，因此無法進(jìn)行全面調(diào)查。但是，研究人員確實(shí)確定了已部署Fobushell Webshell的三臺(tái)Centreon服務(wù)器。其中一個(gè)Fobushell樣本與研究人員先前在Zebrocy C2服務(wù)器上確定的另一個(gè)樣本相同。

華語地區(qū)的APT攻擊趨勢分析

自2020年6月以來，研究人員發(fā)現(xiàn)了一系列惡意活動(dòng)，研究人員將其命名為EdwardsPheasant，主要針對(duì)越南的政府組織。攻擊組織利用了以前未知且晦澀難懂的后門和加載程序?；顒?dòng)在2020年11月達(dá)到頂峰，但目前仍在進(jìn)行中。相關(guān)的攻擊組織繼續(xù)利用其工具和策略來攻擊目標(biāo)或維護(hù)其網(wǎng)絡(luò)中的訪問。雖然研究人員可以確定與Cycldek(又名Goblin Panda)和Lucky Mouse(又名Emissary Panda)相關(guān)的工具和戰(zhàn)術(shù)的相似性，但他們無法將這個(gè)活動(dòng)歸結(jié)為這兩個(gè)活動(dòng)中的任何一個(gè)。

研究人員調(diào)查了一項(xiàng)名為A41APT的長期間諜活動(dòng)，該活動(dòng)針對(duì)多個(gè)行業(yè)，包括日本制造業(yè)及其海外基地，該活動(dòng)自2019年3月以來一直活躍。攻擊組織利用SSL-VPN產(chǎn)品中的漏洞來部署被稱為Ecipekac的多層加載程序(又名DESLoader、SigLoader和HEAVYHAND)。研究人員將此活動(dòng)和APT10聯(lián)系在一起。該加載程序部署的大多數(shù)發(fā)現(xiàn)的有效載荷都是無文件的，以前從未見過。研究人員觀察到了SodaMaster(又名DelfsCake，dfls和DARKTOWN)，P8RAT(又名GreetCake和HEAVYPOT)和FYAnti(又名DILLJUICE Stage 2)，它們依次加載了QuasarRAT。 2020年11月和12月，研究人員發(fā)表了兩篇有關(guān)該活動(dòng)的博客。一個(gè)月后，研究人員觀察到了攻擊組織的新活動(dòng)，其中包括他們的某些植入程序的更新版本，這些植入程序旨在逃避安全產(chǎn)品并使研究人員更難進(jìn)行分析。

中東地區(qū)的APT攻擊趨勢分析

最近，研究人員遇到了被認(rèn)為是來自于Lyceum / Hexane攻擊組織的先前未知的惡意工具集，這表明其背后的攻擊組織仍處于活動(dòng)狀態(tài)，并且在去年一直在開發(fā)升級(jí)階段。盡管Lyceum仍然更喜歡利用DNS隧道，但它似乎已用新的C ++后門和功能相同的PowerShell腳本代替了以前記錄的.NET有效內(nèi)容。研究人員的追蹤表明，攻擊組織的最新攻擊集中在對(duì)突尼斯各領(lǐng)域的攻擊中。研究人員觀察到的受害者都是突尼斯知名的組織，例如電信或航空公司?；谀繕?biāo)行業(yè)，研究人員假設(shè)攻擊組織可能會(huì)對(duì)攻擊這些對(duì)象以跟蹤他們感興趣的個(gè)人的活動(dòng)和交流感興趣。這可能意味著最新的Lyceum組織將重點(diǎn)放在針對(duì)突尼斯的行動(dòng)上，或者這是尚未發(fā)現(xiàn)的更廣泛活動(dòng)的分支。

2020年11月19日，Shadow Chaser Group發(fā)了一條推文，內(nèi)容涉及可疑的MuddyWater APT惡意文檔，該文檔可能針對(duì)阿拉伯聯(lián)合酋長國的一所大學(xué)。根據(jù)此后的分析，研究人員懷疑此攻擊至少是在2020年10月上旬開始并且在2020年12月下旬才停止的活動(dòng)的一部分。攻擊組織依靠基于VBS的惡意程序來感染政府、非政府組織的組織和教育部門。但是，研究人員的追蹤表明攻擊組織沒有部署其他工具，且他們也不認(rèn)為發(fā)生了數(shù)據(jù)泄漏。研究人員分析，此攻擊目前處于行動(dòng)預(yù)備階段，研究人員預(yù)計(jì)攻擊浪潮將在不久的將來接踵而至。在研究人員的報(bào)告中，他們提供了對(duì)該攻擊組織使用的惡意文檔的深入分析，并研究了它們與已知的MuddyWater工具的相似性，特別是基礎(chǔ)設(shè)施設(shè)置和通信方案也類似于以前。 攻擊組織正追蹤分析第一階段的C2服務(wù)器，以便從VBS植入程序返回連接進(jìn)行初始通信之前對(duì)其進(jìn)行分析。研究發(fā)現(xiàn)，攻擊組織在進(jìn)行最初的偵察后，會(huì)將植入程序的通信傳播給第二階段C2，以進(jìn)行其他下載。最后，研究人員分析了該工具與MuddyWater組織開發(fā)的已知TTP的相似之處。MuddyWater組織被認(rèn)為是一個(gè)來自伊朗的APT組織，從2017年活躍至今。其攻擊目標(biāo)國家包括伊拉克、約旦、土耳其、黎巴嫩等中東地區(qū)國家，具有較明顯的政治意圖。目標(biāo)行業(yè)包括政府機(jī)構(gòu)、電信、能源及高科技行業(yè)。

Domestic Kitten是一個(gè)主要以移動(dòng)后門聞名的攻擊組織，該組織的行動(dòng)于2018年曝光，這表明它正在對(duì)中東地區(qū)的個(gè)人進(jìn)行監(jiān)視并隨時(shí)準(zhǔn)備發(fā)起攻擊。攻擊組織通過向Android用戶發(fā)送流行的，知名的應(yīng)用程序(這些應(yīng)用程序是后門程序并包含惡意代碼)來針對(duì)Android用戶。許多應(yīng)用程序具有宗教或政治主題，并且是針對(duì)波斯語、阿拉伯語和庫爾德語的用戶，者可能暗示了此次攻擊的主要目標(biāo)。研究人員發(fā)現(xiàn)的新的證據(jù)表明，至少從2013年開始，Domestic Kitten就一直使用PE可執(zhí)行文件來使用Windows鎖定目標(biāo)受害者，并且有證據(jù)表明它可以追溯到2011年。據(jù)研究人員分析，其Windows版本至今尚未發(fā)布。該版本中的植入程序功能和基礎(chǔ)結(jié)構(gòu)一直保持不變，并已用于該組織今年目睹的活動(dòng)中。

Domestic Kitten是一個(gè)APT組織，自2015年以來一直針對(duì)波斯語地區(qū)的用戶，并且其開發(fā)組織似乎設(shè)在伊朗。盡管該組織已經(jīng)活躍了很長時(shí)間，但其大部分活動(dòng)都處于監(jiān)控之下，據(jù)研究人員分析，安全研究人員并未對(duì)此組織進(jìn)行調(diào)查。直到最近，當(dāng)誘餌文件被上傳到VirusTotal并被Twitter上的研究人員注意到時(shí)，它才引起注意。隨后，研究人員對(duì)其中一個(gè)植入程序進(jìn)行了分析。目前研究人員已經(jīng)能夠?qū)ζ鋽U(kuò)展功能進(jìn)行分析了，并提供有關(guān)其他變體的分析。在上述文檔中提到的被刪除的惡意程序稱為MarkiRAT，用于記錄擊鍵和剪貼板內(nèi)容，提供文件下載和上傳功能以及在受害者計(jì)算機(jī)上執(zhí)行任意命令的功能。研究人員可以將該植入程序追溯到2015年，以及旨在劫持Telegram和Chrome應(yīng)用程序作為持久攻擊。多年來，植入程序一直使用的是相同的C2域，這在“Domestic Kitten”的活動(dòng)中得到了證明。Domestic Kitten組織(APT-C-50)最早被國外安全廠商披露，自2016年以來一直在進(jìn)行廣泛而有針對(duì)性的攻擊，攻擊目標(biāo)包括中東某國內(nèi)部持不同政見者和反對(duì)派力量，以及ISIS的擁護(hù)者和主要定居在中東某國西部的庫爾德少數(shù)民族。值得注意的是，所有攻擊目標(biāo)都是中東某國公民。伊斯蘭革命衛(wèi)隊(duì)(IRGC)、情報(bào)部、內(nèi)政部等中東某國政府機(jī)構(gòu)可能為該組織提供支持。

Karkadann是一個(gè)攻擊組織，至少從2020年10月起就一直針對(duì)中東的政府機(jī)構(gòu)和新聞媒體發(fā)起攻擊。該攻擊組織利用具有觸發(fā)感染鏈的嵌入式宏的量身定制的惡意文檔，在Internet Explorer中打開URL。宏和瀏覽器規(guī)范中存在的最低限度功能表明，攻擊組織可能正在利用Internet Explorer中的特權(quán)升級(jí)漏洞。盡管在Karkadann案中可用于分析的證據(jù)很少，但研究人員仍能找到與Piwiks案的相似之處，這是研究人員發(fā)現(xiàn)的針對(duì)中東多個(gè)知名網(wǎng)站的水坑攻擊。研究人員還發(fā)現(xiàn)了Karkadann最近的攻擊活動(dòng)以及該活動(dòng)與Piwiks攻擊之間的相似之處。自去年以來，研究人員發(fā)現(xiàn)一些基礎(chǔ)架構(gòu)與未歸類的攻擊重疊，這些攻擊可能與同一攻擊組織聯(lián)系在一起。

本文翻譯自：https://securelist.com/apt-trends-report-q1-2021/101967/如若轉(zhuǎn)載，請(qǐng)注明原文地址。