2020年度安全人員跟蹤900多個(gè)高級(jí)威脅活動(dòng)，可在季度報(bào)告中找到詳細(xì)信息。本文將集中討論過(guò)去12個(gè)月中APT攻擊的特點(diǎn)。

[[361498]]

Windows之外

Windows仍然是APT的主要關(guān)注點(diǎn)，但今年也觀察到了許多非Windows的共計(jì)活動(dòng)。例如，Lazarus的MATA惡意軟件框架。4月發(fā)現(xiàn)MATA擴(kuò)展到Windows和Linux以外的系統(tǒng)，包括macOS。Lazarus利用宏嵌入的Office文檔并根據(jù)受害者的系統(tǒng)傳播PowerShell或macOS惡意軟件。

安全人員發(fā)布了Penquin家族分析報(bào)告，并在5月發(fā)表有關(guān)Penquin_x64的技術(shù)分析。Penquin_x64是Turla的Penquin GNU/Linux后門變體，分析指出Turla可能會(huì)利用Penquin進(jìn)行除傳統(tǒng)情報(bào)以外的其他操作。

在2020年第三季度APT趨勢(shì)報(bào)告中描述了TunnelSnake攻擊活動(dòng)。攻擊者利用了開源工具Earthworm和Termite，生成遠(yuǎn)程shell并在主機(jī)之間建立隧道通信。這些工具能夠在IoT設(shè)備等多種體系結(jié)構(gòu)上運(yùn)行，表明攻擊者已經(jīng)將此類設(shè)備作為新的目標(biāo)。

UEFI固件感染

在針對(duì)某次攻擊的調(diào)查中發(fā)現(xiàn)了一個(gè)UEFI固件映像，固件模塊是基于Vector EDK的bootkit，植入的惡意軟件是下載器。通過(guò)分析提取惡意軟件特征，發(fā)現(xiàn)了一系列類似的樣本，這些樣本自2017年以來(lái)一直被用于外交組織，它們的業(yè)務(wù)邏輯大部分是相同的，但一些附加功能或在實(shí)現(xiàn)上有所不同。

手機(jī)惡意攻擊

今年發(fā)現(xiàn)許多針對(duì)移動(dòng)平臺(tái)的APT組織。今年1月，發(fā)現(xiàn)了一個(gè)利用了完整遠(yuǎn)程iOS攻擊鏈的水坑。該網(wǎng)站針對(duì)香港用戶設(shè)計(jì)。目前使用的都是已知漏洞，攻擊者正在改進(jìn)漏洞利用工具，以針對(duì)更多的iOS版本和設(shè)備。它還支持Android、Windows、Linux和macOS等平臺(tái)。

今年8月，研究人員發(fā)表了關(guān)于透明部落的第二份分析報(bào)告。其中包括該組織用來(lái)攻擊滲透安卓設(shè)備的惡意軟件。惡意程序偽裝成印度政府開發(fā)的Aarogya Setu COVID-19跟蹤應(yīng)用程序，主要針對(duì)印度的軍事人員，通過(guò)WhatsApp、短信、電子郵件或社交媒體發(fā)送惡意鏈接進(jìn)行傳播。

今年6月，觀察到一組新的惡意安卓下載程序，這些下載器從2019年12月起就已經(jīng)出現(xiàn)在網(wǎng)絡(luò)中，主要針對(duì)巴基斯坦。美國(guó)NTISB在1月份的一份報(bào)告中分析了惡意軟件共享相同的C2s，目標(biāo)是巴基斯坦軍方機(jī)構(gòu)，攻擊者利用WhatsApp信息、短信、電子郵件和社交媒體作為最初的傳播媒介。

官方點(diǎn)名

5月，英國(guó)國(guó)家網(wǎng)絡(luò)安全中心(NCSC)和美國(guó)國(guó)土安全部(DHS)發(fā)布聯(lián)合警告，兩國(guó)都在調(diào)查針對(duì)制藥公司，醫(yī)學(xué)研究組織和制藥公司的網(wǎng)絡(luò)攻擊事件。

7月30日，歐洲理事會(huì)對(duì)六名個(gè)人和三個(gè)實(shí)體實(shí)施制裁，這些個(gè)人和實(shí)體參與了多個(gè)網(wǎng)絡(luò)攻擊活動(dòng)，制裁包括禁令旅行和資產(chǎn)凍結(jié)，禁止歐盟個(gè)人和實(shí)體向所列人員提供資金。

9月，美國(guó)司法部發(fā)布了三份黑客起訴書，這些黑客與APT41和其他網(wǎng)絡(luò)攻擊活動(dòng)有關(guān)，包括Barium, Winnti, Wicked Panda，Wicked Spider。美國(guó)司法部與馬來(lái)西亞政府合作之后，兩名馬來(lái)西亞國(guó)民于9月14日被捕，罪名是“非法計(jì)算機(jī)入侵”。根據(jù)起訴書中的信息可將這些入侵行為與ShadowPad和ShadowHammer聯(lián)系起來(lái)。

10月，美國(guó)司法部起訴六名俄羅斯軍官進(jìn)行了多次網(wǎng)絡(luò)攻擊，其中包括NotPetya，2018年奧林匹克驅(qū)逐艦襲擊事件以及Novichok中毒事件。英國(guó)NCSC還指控俄羅斯的GRU軍事情報(bào)部門對(duì)東京奧運(yùn)會(huì)的官員進(jìn)行攻擊。

“剛剛好”就夠了

APT攻擊并不總是需要復(fù)雜技術(shù)，DeathStalker說(shuō)明了這一點(diǎn)。DeathStalker目標(biāo)主要集中在律師事務(wù)所和金融行業(yè)，它收集敏感的商業(yè)信息，提供黑客服務(wù)，或在金融界充當(dāng)信息經(jīng)紀(jì)人。

本季度，發(fā)現(xiàn)了該組織基于LNK的入侵線索。該組織一直在開發(fā)其工具包，采用自2018年以來(lái)相同的策略，同時(shí)加大了逃避檢測(cè)的力度。

2020年6月底發(fā)現(xiàn)DeathStalker的有趣變化。例如，惡意軟件使用嵌入的IP地址或域名直接連接到C2服務(wù)器，它使用至少兩個(gè)DDR或web服務(wù)來(lái)獲取真實(shí)的C2 IP地址或域。攻擊者并不僅僅局限于發(fā)送魚叉式網(wǎng)絡(luò)釣魚郵件，而是通過(guò)多封電子郵件積極與受害者接觸，說(shuō)服他們打開誘餌。此外，攻擊者在入侵中使用基于Python的惡意工具，這是第一次發(fā)現(xiàn)攻擊者放棄PE二進(jìn)制文件作為中間階段來(lái)加載evillum。還發(fā)現(xiàn)了該組織自2020年第二季度以來(lái)使用的復(fù)雜度較低的惡意軟件，它依賴于HTTPS上的DNS(DoH)作為C2通道。2020年10月，發(fā)現(xiàn)并分析了該組織的PowerPepper工具集的新樣本，包括改進(jìn)的沙盒檢測(cè)技術(shù)。

COVID-19

在COVID-19大流行之后，許多國(guó)家采取封鎖措施，攻擊者不斷地利用人們對(duì)這種疾病的恐懼發(fā)起網(wǎng)絡(luò)攻擊活動(dòng)。大多數(shù)與COVID-19相關(guān)的網(wǎng)絡(luò)釣魚都是網(wǎng)絡(luò)犯罪分子為賺錢發(fā)起的。但是，據(jù)OSINT(開源情報(bào))稱，攻擊者名單中包括拉扎魯斯(Lazarus)、響尾蛇(Sidewinder)、透明部落(Transparent Tribe)、第21組(GroupA21)等。研究人員還發(fā)現(xiàn)Kimsuky、APT27、IronHusky和ViciousPanda也在使用COVID-19為主題的誘餌來(lái)攻擊受害者。

在WellMess報(bào)告之后，英國(guó)國(guó)家網(wǎng)絡(luò)安全中心(NCSC)與加拿大和美國(guó)政府發(fā)布了一份關(guān)于WellMess最新活動(dòng)報(bào)告。這三個(gè)國(guó)家政府把針對(duì)COVID-19疫苗研究的惡意軟件歸咎于Dukes(又稱APT29和Cozy Bear)。

原文鏈接：securelist