[[398453]]

卡巴斯基全球研究與分析團隊(GReAT)四年來一直都在持續(xù)關(guān)注并發(fā)布關(guān)于高級持續(xù)攻擊(APT)活動的季度報告。這些報告是基于研究人員的持續(xù)攻擊情報分析，本文會對相關(guān)的發(fā)現(xiàn)做更詳細和細致的研究。

[[398454]]

APT的攻擊趨勢分析

去年12月，著名的IT托管服務(wù)提供商SolarWinds遭受了復雜的供應鏈攻擊。該公司的Orion IT(一種用于監(jiān)視和管理客戶的IT基礎(chǔ)架構(gòu)的解決方案)遭到了攻擊。這導致在北美、歐洲、中東和亞洲的18000多個SolarWinds客戶網(wǎng)絡(luò)(包括許多大型公司和政府機構(gòu))上被部署了名為Sunburst的自定義后門。在有關(guān)Sunburst的初始報告中，研究人員仔細檢查了該惡意程序用于與其C2(命令和控制)服務(wù)器通信的方法以及用于升級對受害者以進一步利用的攻擊方法。對Sunburst后門的進一步調(diào)查顯示，一些功能與先前確定的后門——Kazuar有重疊之處，Kazuar于2017年首次被發(fā)現(xiàn)，有人認為與Turla APT組織有關(guān)。 Sunburst和Kazuar之間的共享功能包括受害者UID生成算法，其算法中的代碼相似性以及FNV1a哈希廣泛用于混淆字符串比較的功能。有幾種可能性：Sunburst可能是和Kazuar一起由同一組織開發(fā)的或者Sunburst的開發(fā)人員可能已經(jīng)采納了Kazuar的一些想法或代碼或者兩組都從同一來源獲得了惡意程序或者一些Kazuar開發(fā)人員已經(jīng)將隨身攜帶的經(jīng)驗和知識轉(zhuǎn)移到另一個開發(fā)團隊了，或者Sunburst的開發(fā)者引入這些鏈接作為一種虛假標志。下面將做進一步分析。

3月2日，微軟報告了一個名為HAFNIUM的APT攻擊，該攻擊利用了Exchange Server中的四個零日漏洞進行了所謂的“有限和有針對性的攻擊”。當時，微軟聲稱，除了HAFNIUM之外，其他一些攻擊組織也正在利用它們發(fā)起了攻擊。同時，Volexity還報告了2021年初使用相同的Exchange零日漏洞的情況。根據(jù)Volexity的追蹤分析，除微軟報告的HAFNIUM之外，還報告了一些攻擊組織之間正共享一些正在使用的漏洞?？ò退够粉櫦夹g(shù)揭示了在微軟公開披露并修補此漏洞后，針對這些漏洞的利用嘗試激增。在3月的第一周，研究人員確定了大約1400臺目標服務(wù)器，其中使用了一個或多個漏洞來進行初始訪問。在發(fā)布這份報告之前，研究人員于2月28日在不到十二個Exchange系統(tǒng)上確定了相關(guān)的漏洞利用;研究人員還發(fā)現(xiàn)了超過12個偽造的Exchange文件，表明該文件已經(jīng)被攻擊組織上傳到了多個掃描服務(wù)中。根據(jù)研究人員的追蹤，在歐洲和美國觀察到了大多數(shù)利用服務(wù)器的嘗試。其中一些服務(wù)器多次被不同的攻擊組織(基于命令執(zhí)行模式)攻擊，這表明這些漏洞現(xiàn)在可以被多個組織使用。

自3月中旬以來，研究人員還發(fā)現(xiàn)了一項針對俄羅斯聯(lián)邦政府的活動，該活動使用了上述Exchange零日漏洞。該活動利用了一個以前未知的惡意程序家族，研究人員將其稱為FourteenHi。進一步的調(diào)查顯示了追溯到一年前這種惡意程序變體的活動痕跡，研究人員還發(fā)現(xiàn)，在同一時間范圍內(nèi)，與HAFNIUM進行的這些活動集在基礎(chǔ)架構(gòu)和TTP以及ShadowPad惡意程序的使用方面存在一些重疊。

歐洲的APT攻擊趨勢分析

在對FinFisher間諜程序工具進行常規(guī)分析期間，研究人員發(fā)現(xiàn)了最近針對FinFly Web部署的跟蹤。特別是，研究人員發(fā)現(xiàn)使用FinFly Web生成的兩臺帶有Web應用程序的服務(wù)器。本質(zhì)上，F(xiàn)inFly Web是實現(xiàn)基于Web的利用服務(wù)器的一組工具和程序包。在Gamma Group遭到黑客攻擊后，它于2014年首次被公開。在2019年10月至2020年12月之間，其中一臺可疑的FinFly Web服務(wù)器處于活躍狀態(tài)已超過一年。在去年12月研究人員發(fā)現(xiàn)后的第二天，該服務(wù)器已被禁用。盡管如此，研究人員仍然能夠捕獲其登錄頁面的副本，其中包括用于使用以前未知的代碼來描述受害者的JavaScript。在第二種情況下，托管FinFly Web的服務(wù)器在發(fā)現(xiàn)之時已經(jīng)脫機，因此研究人員使用可用的歷史數(shù)據(jù)得出了結(jié)論。事實證明，它在2020年9月前后的很短時間內(nèi)在主機上處于活動狀態(tài)，該主機似乎冒充了流行的Mail.ru服務(wù)。令人驚訝的是，該服務(wù)器于1月12日再次開始回應查詢。到目前為止，研究人員還沒有看到這些網(wǎng)頁刪除任何相關(guān)的有效載荷。

俄語地區(qū)的APT攻擊趨勢分析

Kazuar是通常與Turla攻擊組織(又名Snake和Uroboros)相關(guān)聯(lián)的.NET后門。最近，Kazuar由于與Sunburst后門的相似之處而重新受到關(guān)注。盡管Kazuar的功能已經(jīng)被多次公開，但是有關(guān)此后門的許多深入研究實并未公開。研究人員的最新報告重點關(guān)注攻擊組織對該后門的9月和11月版本所做的更改。

2月24日，烏克蘭國家安全防御委員會(NSDC)公開警告說，攻擊組織已經(jīng)利用國家文件傳播系統(tǒng)(SEI EB)向烏克蘭公共當局傳播了惡意文件。該警報包含一些相關(guān)的網(wǎng)絡(luò)IoC，并指定特定文檔使用了惡意宏，以便將植入程序傳播到目標系統(tǒng)上。多虧了共享的IoC，研究人員才能夠非常確定地將這次攻擊歸因于Gamaredon攻擊組織?？ò退够鶑?月份開始就將NSDC提到的惡意服務(wù)器IP稱為Gamaredon基礎(chǔ)架構(gòu)。

1月27日，法國國家網(wǎng)絡(luò)安全機構(gòu)(ANSSI)發(fā)布了一份報告，描述了針對2017年至2020年之間公開暴露和過時的Centreon系統(tǒng)的攻擊活動，目的是部署Fobushell(又名 P.A.S.)webshell和Exaramel植入程序。 ANSSI將活動與Sandworm攻擊集(研究人員稱為Hades)聯(lián)系在一起。盡管研究人員專門尋找了其他受攻擊的Centreon系統(tǒng)、Exaramel植入程序樣本或相關(guān)基礎(chǔ)設(shè)施，但仍無法檢索到任何有用的痕跡，因此無法進行全面調(diào)查。但是，研究人員確實確定了已部署Fobushell Webshell的三臺Centreon服務(wù)器。其中一個Fobushell樣本與研究人員先前在Zebrocy C2服務(wù)器上確定的另一個樣本相同。

華語地區(qū)的APT攻擊趨勢分析

自2020年6月以來，研究人員發(fā)現(xiàn)了一系列惡意活動，研究人員將其命名為EdwardsPheasant，主要針對越南的政府組織。攻擊組織利用了以前未知且晦澀難懂的后門和加載程序。活動在2020年11月達到頂峰，但目前仍在進行中。相關(guān)的攻擊組織繼續(xù)利用其工具和策略來攻擊目標或維護其網(wǎng)絡(luò)中的訪問。雖然研究人員可以確定與Cycldek(又名Goblin Panda)和Lucky Mouse(又名Emissary Panda)相關(guān)的工具和戰(zhàn)術(shù)的相似性，但他們無法將這個活動歸結(jié)為這兩個活動中的任何一個。

研究人員調(diào)查了一項名為A41APT的長期間諜活動，該活動針對多個行業(yè)，包括日本制造業(yè)及其海外基地，該活動自2019年3月以來一直活躍。攻擊組織利用SSL-VPN產(chǎn)品中的漏洞來部署被稱為Ecipekac的多層加載程序(又名DESLoader、SigLoader和HEAVYHAND)。研究人員將此活動和APT10聯(lián)系在一起。該加載程序部署的大多數(shù)發(fā)現(xiàn)的有效載荷都是無文件的，以前從未見過。研究人員觀察到了SodaMaster(又名DelfsCake，dfls和DARKTOWN)，P8RAT(又名GreetCake和HEAVYPOT)和FYAnti(又名DILLJUICE Stage 2)，它們依次加載了QuasarRAT。 2020年11月和12月，研究人員發(fā)表了兩篇有關(guān)該活動的博客。一個月后，研究人員觀察到了攻擊組織的新活動，其中包括他們的某些植入程序的更新版本，這些植入程序旨在逃避安全產(chǎn)品并使研究人員更難進行分析。

中東地區(qū)的APT攻擊趨勢分析

最近，研究人員遇到了被認為是來自于Lyceum / Hexane攻擊組織的先前未知的惡意工具集，這表明其背后的攻擊組織仍處于活動狀態(tài)，并且在去年一直在開發(fā)升級階段。盡管Lyceum仍然更喜歡利用DNS隧道，但它似乎已用新的C ++后門和功能相同的PowerShell腳本代替了以前記錄的.NET有效內(nèi)容。研究人員的追蹤表明，攻擊組織的最新攻擊集中在對突尼斯各領(lǐng)域的攻擊中。研究人員觀察到的受害者都是突尼斯知名的組織，例如電信或航空公司。基于目標行業(yè)，研究人員假設(shè)攻擊組織可能會對攻擊這些對象以跟蹤他們感興趣的個人的活動和交流感興趣。這可能意味著最新的Lyceum組織將重點放在針對突尼斯的行動上，或者這是尚未發(fā)現(xiàn)的更廣泛活動的分支。

2020年11月19日，Shadow Chaser Group發(fā)了一條推文，內(nèi)容涉及可疑的MuddyWater APT惡意文檔，該文檔可能針對阿拉伯聯(lián)合酋長國的一所大學。根據(jù)此后的分析，研究人員懷疑此攻擊至少是在2020年10月上旬開始并且在2020年12月下旬才停止的活動的一部分。攻擊組織依靠基于VBS的惡意程序來感染政府、非政府組織的組織和教育部門。但是，研究人員的追蹤表明攻擊組織沒有部署其他工具，且他們也不認為發(fā)生了數(shù)據(jù)泄漏。研究人員分析，此攻擊目前處于行動預備階段，研究人員預計攻擊浪潮將在不久的將來接踵而至。在研究人員的報告中，他們提供了對該攻擊組織使用的惡意文檔的深入分析，并研究了它們與已知的MuddyWater工具的相似性，特別是基礎(chǔ)設(shè)施設(shè)置和通信方案也類似于以前。 攻擊組織正追蹤分析第一階段的C2服務(wù)器，以便從VBS植入程序返回連接進行初始通信之前對其進行分析。研究發(fā)現(xiàn)，攻擊組織在進行最初的偵察后，會將植入程序的通信傳播給第二階段C2，以進行其他下載。最后，研究人員分析了該工具與MuddyWater組織開發(fā)的已知TTP的相似之處。MuddyWater組織被認為是一個來自伊朗的APT組織，從2017年活躍至今。其攻擊目標國家包括伊拉克、約旦、土耳其、黎巴嫩等中東地區(qū)國家，具有較明顯的政治意圖。目標行業(yè)包括政府機構(gòu)、電信、能源及高科技行業(yè)。

Domestic Kitten是一個主要以移動后門聞名的攻擊組織，該組織的行動于2018年曝光，這表明它正在對中東地區(qū)的個人進行監(jiān)視并隨時準備發(fā)起攻擊。攻擊組織通過向Android用戶發(fā)送流行的，知名的應用程序(這些應用程序是后門程序并包含惡意代碼)來針對Android用戶。許多應用程序具有宗教或政治主題，并且是針對波斯語、阿拉伯語和庫爾德語的用戶，者可能暗示了此次攻擊的主要目標。研究人員發(fā)現(xiàn)的新的證據(jù)表明，至少從2013年開始，Domestic Kitten就一直使用PE可執(zhí)行文件來使用Windows鎖定目標受害者，并且有證據(jù)表明它可以追溯到2011年。據(jù)研究人員分析，其Windows版本至今尚未發(fā)布。該版本中的植入程序功能和基礎(chǔ)結(jié)構(gòu)一直保持不變，并已用于該組織今年目睹的活動中。

Domestic Kitten是一個APT組織，自2015年以來一直針對波斯語地區(qū)的用戶，并且其開發(fā)組織似乎設(shè)在伊朗。盡管該組織已經(jīng)活躍了很長時間，但其大部分活動都處于監(jiān)控之下，據(jù)研究人員分析，安全研究人員并未對此組織進行調(diào)查。直到最近，當誘餌文件被上傳到VirusTotal并被Twitter上的研究人員注意到時，它才引起注意。隨后，研究人員對其中一個植入程序進行了分析。目前研究人員已經(jīng)能夠?qū)ζ鋽U展功能進行分析了，并提供有關(guān)其他變體的分析。在上述文檔中提到的被刪除的惡意程序稱為MarkiRAT，用于記錄擊鍵和剪貼板內(nèi)容，提供文件下載和上傳功能以及在受害者計算機上執(zhí)行任意命令的功能。研究人員可以將該植入程序追溯到2015年，以及旨在劫持Telegram和Chrome應用程序作為持久攻擊。多年來，植入程序一直使用的是相同的C2域，這在“Domestic Kitten”的活動中得到了證明。Domestic Kitten組織(APT-C-50)最早被國外安全廠商披露，自2016年以來一直在進行廣泛而有針對性的攻擊，攻擊目標包括中東某國內(nèi)部持不同政見者和反對派力量，以及ISIS的擁護者和主要定居在中東某國西部的庫爾德少數(shù)民族。值得注意的是，所有攻擊目標都是中東某國公民。伊斯蘭革命衛(wèi)隊(IRGC)、情報部、內(nèi)政部等中東某國政府機構(gòu)可能為該組織提供支持。

Karkadann是一個攻擊組織，至少從2020年10月起就一直針對中東的政府機構(gòu)和新聞媒體發(fā)起攻擊。該攻擊組織利用具有觸發(fā)感染鏈的嵌入式宏的量身定制的惡意文檔，在Internet Explorer中打開URL。宏和瀏覽器規(guī)范中存在的最低限度功能表明，攻擊組織可能正在利用Internet Explorer中的特權(quán)升級漏洞。盡管在Karkadann案中可用于分析的證據(jù)很少，但研究人員仍能找到與Piwiks案的相似之處，這是研究人員發(fā)現(xiàn)的針對中東多個知名網(wǎng)站的水坑攻擊。研究人員還發(fā)現(xiàn)了Karkadann最近的攻擊活動以及該活動與Piwiks攻擊之間的相似之處。自去年以來，研究人員發(fā)現(xiàn)一些基礎(chǔ)架構(gòu)與未歸類的攻擊重疊，這些攻擊可能與同一攻擊組織聯(lián)系在一起。

本文翻譯自：https://securelist.com/apt-trends-report-q1-2021/101967/如若轉(zhuǎn)載，請注明原文地址。