三年多來，卡巴斯基全球研究與分析團隊(GReAT)一直在持續(xù)關(guān)注著APT攻擊活動的變化，并且每個季度都發(fā)布相關(guān)的趨勢報告分析。本文所講的分析都是基于卡巴斯基的網(wǎng)絡(luò)攻擊情報研究。本文重點介紹了卡巴斯基在2020年第三季度觀察到的APT攻擊活動。

最顯著的發(fā)現(xiàn)

卡巴斯基最近發(fā)現(xiàn)了DeathStalker的活動，DeathStalker是一個獨特的網(wǎng)絡(luò)攻擊組織，該組織的攻擊目標(biāo)似乎只是關(guān)注律師事務(wù)所和金融業(yè)公司。該組織對收集敏感業(yè)務(wù)信息的興趣使卡巴斯基相信，DeathStalker只是一群提供黑客服務(wù)的雇傭軍或在金融界充當(dāng)信息經(jīng)紀人。這個網(wǎng)絡(luò)攻擊者的活動首先通過名為Powersing的基于PowerShell的植入程序引起了卡巴斯基的注意。

本季度，卡巴斯基對DeathStalker基于LNK的Powersing攻擊工作流程的線程進行了分解。盡管整個工具集沒有開創(chuàng)性的內(nèi)容，但卡巴斯基認為，防御者可以通過理解成功的網(wǎng)絡(luò)攻擊者使用的現(xiàn)代(盡管技術(shù)含量低)感染鏈的基礎(chǔ)來獲得很多價值。 DeathStalker目前正在繼續(xù)開發(fā)和使用這種攻擊技術(shù)，且采用了自2018年以來基本相同的策略，同時加大了逃避偵查的力度。 早在今年8月，卡巴斯基對DeathStalker活動的公開報告中就總結(jié)了該組織使用的三種基于腳本語言的工具鏈：Powersing，Janicab和Evilnum。

在首次公開關(guān)于Evilnum的報告之后，卡巴斯基于2020年6月下旬檢測到一批新的植入程序，顯示出DeathStalker到目前為止的靜態(tài)攻擊方式發(fā)生了有趣的變化。例如，該惡意程序使用嵌入式IP地址或域名直接連接到C2服務(wù)器，而之前的變體使用了至少兩個死亡解析器(dead drop resolvers ，DDRs)或Web服務(wù)(例如論壇和代碼共享平臺) ，以獲取獲取真正的C2的IP地址或域名。

有趣的是，對于此活動，攻擊者不僅將自己限制在發(fā)送魚叉式釣魚電子郵件，還通過多封電子郵件積極與受害者互動，誘使他們打開誘餌，以增加遭受網(wǎng)絡(luò)攻擊的機會。此外，除了在整個攻擊周期中使用基于python的植入程序之外，無論是在新版本還是舊版本中，這都是卡巴斯基第一次看到攻擊者將PE二進制文件作為中間階段加載Evilnum，同時使用先進的技術(shù)來規(guī)避和繞過安全產(chǎn)品。

此外卡巴斯基還發(fā)現(xiàn)了另一種復(fù)雜的但技術(shù)含量很低的植入程序，卡巴斯基將其歸因于DeathStalker，因為其傳播工作流使用Microsoft Word文檔，并刪除以前未知的PowerShell植入程序，該植入程序依賴于HTTPS(DoH)上的DNS作為C2通道，卡巴斯基將這種植入程序稱為PowerPepper。

在近期針對目標(biāo)活動的調(diào)查中，卡巴斯基發(fā)現(xiàn)了一個UEFI固件映像，其中包含惡意組件，這些惡意組件會將以前未知的惡意程序丟棄到磁盤中?？ò退够姆治霰砻?，被發(fā)現(xiàn)的固件模塊是基于名為Vector-EDK的已知引導(dǎo)程序，而被丟棄的惡意程序則是其他組件的下載器。通過研究惡意程序的獨特功能，卡巴斯基從研究中發(fā)現(xiàn)了一系列自2017年以來一直用于攻擊目標(biāo)的相似樣本，它們具有不同的感染媒介。

盡管大多數(shù)業(yè)務(wù)邏輯是相同的，但卡巴斯基可以看到其中一些具有附加功能或?qū)崿F(xiàn)方式不同。因此，卡巴斯基推斷出大部分樣本都來自卡巴斯基稱為MosaicRegressor的更大框架。一些框架組件中的代碼和活動中使用的C2基礎(chǔ)設(shè)施中的重疊表明，在這些攻擊背后有一個幕后主使者，可能與使用Winnti后門的組織有聯(lián)系。

歐洲地區(qū)的攻擊活動

自發(fā)布有關(guān)WellMess的初步報告(請參閱2020年第二季度APT趨勢報告)以來，英國國家網(wǎng)絡(luò)安全中心(NCSC)已與加拿大和美國政府就涉及WellMess的最新活動發(fā)布了聯(lián)合技術(shù)咨詢。具體來說，三個政府都將針對新冠疫苗研究的惡意程序的使用歸因于Dukes家族(又名APT29和Cozy Bear)。該通報還詳細介紹了在此活動中使用的另外兩個惡意程序，即SOREFANG和WellMail。

鑒于直接的歸因公開聲明，咨詢中提供的新詳細信息以及自卡巴斯基進行初步調(diào)查以來發(fā)現(xiàn)的新信息，新發(fā)布了的報告，以補充卡巴斯基先前對該網(wǎng)絡(luò)攻擊的報告。雖然NCSC的公告提高了公眾對最近這些攻擊中使用的惡意程序的意識，但這三個政府的歸因聲明并沒有提供明確的證據(jù)供其他研究人員深入研究。因此，卡巴斯基目前無法修改它們的原始聲明;并且卡巴斯基仍然堅持認為WellMess活動是由先前未知的網(wǎng)絡(luò)攻擊者進行的。如果發(fā)現(xiàn)新的證據(jù)，卡巴斯基將調(diào)整此聲明。

俄語地區(qū)的攻擊活動

今年夏天，卡巴斯基發(fā)現(xiàn)了一個未知的多模塊C ++工具集，該工具集可追溯到2018年那次工業(yè)間諜活動。到目前為止，卡巴斯基還沒有發(fā)現(xiàn)與已知的惡意活動有關(guān)代碼、基礎(chǔ)架構(gòu)或TTP的相似之處。

到目前為止，卡巴斯基認為此工具集及其背后的攻擊組織都是新出現(xiàn)的。其開發(fā)者將工具集命名為MT3，基于此縮寫，卡巴斯基將該工具集命名為MontysThree。該惡意程序被配置為搜索特定類型的文檔，包括那些存儲在可移動媒體上的文檔。它包含了正確的俄語的自然語言偽像和一個尋找只存在于Cyrilic版本的Windows目錄的配置，同時顯示了一些偽造的語言標(biāo)志，表明是說漢語的人開發(fā)的。該惡意程序使用合法的云服務(wù)(例如Google，Microsoft和Dropbox)進行C2通信。

中文地區(qū)的攻擊活動

今年早些時候，卡巴斯基在亞洲和非洲的區(qū)域政府間組織網(wǎng)絡(luò)中發(fā)現(xiàn)了一個活躍的，以前未知的隱形植入程序，稱為Moriya。通過使用C2服務(wù)器建立隱蔽通道并將Shell命令及其輸出傳遞給C2，此工具用于控制那些組織中面向公眾的服務(wù)器。使用Windows內(nèi)核模式驅(qū)動程序可以簡化此功能，使用該工具是卡巴斯基正在進行的名為TunnelSnake的活動的一部分。

Rootkit于5月在目標(biāo)計算機上被檢測到，該攻擊活動最早可追溯至2019年11月，并在最初感染后在網(wǎng)絡(luò)上持續(xù)了幾個月?？ò退够l(fā)現(xiàn)另一個工具顯示與這個rootkit有明顯的代碼重疊，這表明開發(fā)人員至少從2018年就開始活躍了。由于rootkit和其他橫向移動工具都不依賴于硬編碼的C2服務(wù)器，因此卡巴斯基只能獲得對攻擊者基礎(chǔ)結(jié)構(gòu)的部分預(yù)測。也就是說，除了Moriya以外，大多數(shù)檢測到的工具都包含專有和知名的惡意程序，這些惡意程序以前曾被說成是使用中文的攻擊者使用的，這為攻擊者來源的分析提供了線索。

在東南亞和東亞，以及非洲，PlugX一直被有效地和大量地使用，在歐洲卻很少被使用。PlugX代碼庫已被包括HoneyMyte，Cycldek和LuckyMouse在內(nèi)的多個中文APT組使用。政府機構(gòu)、非政府組織和IT服務(wù)組織似乎都是這些攻擊的目標(biāo)，盡管新的USB傳播功能有機會將惡意程序推向整個網(wǎng)絡(luò)，但受到攻擊的MSSPs/IT服務(wù)組織似乎是一個定向傳播的潛在攻擊載體，CobaltStrike安裝程序包已推送到多個系統(tǒng)進行初始PlugX安裝。根據(jù)卡巴斯基的觀察，上個季度的大部分活動似乎都集中在蒙古、越南和緬甸。到2020年，這些國家使用PlugX的系統(tǒng)至少有幾千個。

卡巴斯基發(fā)現(xiàn)一個持續(xù)進行的攻擊活動，可以追溯到五月，利用一個新的版本的Okrum后門，Okrum是Ke3chang開發(fā)的，Ke3chang組織也被稱為APT15,該組織的攻擊行為于2012年第一次被曝光，該組織當(dāng)時利用遠程后門攻擊全世界的高價值目標(biāo)。該組織活動最早可以追溯到2010年，在火眼2013年報告中顯示該組織當(dāng)時針對的目標(biāo)為歐洲外交組織。這個更新版本的Okrum使用了一個authenticode簽名的Windows防御二進制文件，使用了一種獨特的側(cè)加載技術(shù)。攻擊者使用隱寫術(shù)來隱藏防御者可執(zhí)行文件中的主要有效載荷，同時保持其數(shù)字簽名的有效性，減少被發(fā)現(xiàn)的機會?？ò退够郧皬奈匆娺^這種方法在野外被用于惡意目的。目前卡巴斯基已經(jīng)觀察到一個受害者，該受害者是一家位于歐洲的電信公司。

9月16日，美國司法部(US Department of Justice)公布了三份與黑客有關(guān)的起訴書據(jù)稱這些黑客與APT41和其他攻擊設(shè)備有關(guān)，這些設(shè)備包括Barium，Winnti，Wicked Panda和Wicked Spider。

此外，在美國司法部與馬來西亞政府(包括總檢察院)合作之后，兩名馬來西亞公民也于9月14日在馬來西亞的Sitiawan被捕，罪名是“密謀從針對視頻游戲行業(yè)的電腦攻擊中獲利”。第一份起訴書稱，被告成立了一家名為“白帽子”的精英網(wǎng)絡(luò)安全公司，名為成都404網(wǎng)絡(luò)技術(shù)有限公司(又名成都思靈思網(wǎng)絡(luò)技術(shù)有限公司)，并以其名義從事針對全球數(shù)百家公司的電腦攻擊，他們使用專門的惡意程序進行黑客攻擊，比如網(wǎng)絡(luò)安全專家所稱的‘PlugX/Fast’、‘Winnti/Pasteboy’、‘Shadowpad’、‘Barlaiy/Poison Plug’和‘Crosswalk/ProxIP’。起訴書中包含了幾個間接的IoC，這使卡巴斯基能夠?qū)⑦@些攻擊與近年來發(fā)現(xiàn)和調(diào)查的兩起大規(guī)模供應(yīng)鏈攻擊行動“ShadowPad”和“ShadowHammer”聯(lián)系起來。

2017年7月，卡巴斯基實驗室研究人員發(fā)現(xiàn)了ShadowPad，一種隱藏在服務(wù)器管理程序中的后門程序，全球有數(shù)百家企業(yè)使用這些服務(wù)器管理程序。這種惡意代碼被植入到這些程序的更新中，而這些程序廣泛應(yīng)用于金融服務(wù)、教育、電信、制造業(yè)、能源和運輸行業(yè)中。2019年卡巴斯基實驗室發(fā)現(xiàn)了一種(APT)攻擊行動，通過供應(yīng)鏈攻擊影響了大量用戶。研究發(fā)現(xiàn)，ShadowHammer行動幕后的威脅攻擊者的攻擊目標(biāo)為華碩實時更新應(yīng)用程序的用戶，其至少在2018年6月至11月期間向用戶設(shè)備注入了后門程序，危及全球超過50萬用戶的安全。

下一篇文章，我們將介紹APT組織本季度在中東地區(qū)的攻擊活動概況。