[[399017]]

（接上文）

東南亞和朝鮮半島地區(qū)的APT攻擊趨勢分析

研究人員發(fā)現(xiàn)，Kimsuky組織在其最新的針對韓國股票交易應(yīng)用程序的活動中采用了一種新方法來傳播其惡意程序。研究人員發(fā)現(xiàn)在此活動中，從2020年12月開始，該組織攻擊了一個屬于股票交易程序供應(yīng)商的網(wǎng)站，攻擊者用一個惡意程序替換了托管安裝包。 Kimsuky還利用包含與COVID-19相關(guān)的誘餌惡意韓文(HWP)文檔討論了政府救濟(jì)基金，從而傳播了其惡意程序。這兩種感染載體最終都會釋放Quasar RAT，Quasar是一種公開可用的開源遠(yuǎn)程訪問木馬,主要針對Windows操作系統(tǒng)，Quasar通過惡意附件在網(wǎng)絡(luò)釣魚電子郵件中傳播。與Kimsuky上次報告的由各種腳本組成的感染鏈相比，該新方案增加了復(fù)雜性，并引入了非常不受歡迎的文件類型，涉及帶有嵌入式C#代碼的VBS腳本，XML和可擴(kuò)展樣式表語言(XSL)文件，以獲取并執(zhí)行暫存器和有效載荷。根據(jù)誘餌文件和受攻擊安裝程序包的功能，研究人員得出結(jié)論，此攻擊是出于經(jīng)濟(jì)動機(jī)，正如研究人員先前所報道的那樣，這是Kimsuky的攻擊者主要關(guān)注的領(lǐng)域。

1月25日，Google攻擊分析組織(TAG)宣布，與朝鮮相關(guān)的攻擊組織以安全研究人員為目標(biāo)發(fā)起攻擊。根據(jù)Google TAG的博客，研究人員分析該攻擊組織使用了高度復(fù)雜的社交工程手段，通過社交媒體與安全研究人員聯(lián)系，并提供了遭到攻擊的Visual Studio項目文件，或?qū)⑺麄円T到他們的博客中誘導(dǎo)受害目標(biāo)安裝Chrome漏洞利用程序。 3月31日，Google TAG發(fā)布了此活動的更新，攻擊組織又更新了另一波虛假的社交媒體資料，以及攻擊組織在3月中旬成立的公司。研究人員可以確認(rèn)博客上的幾個基礎(chǔ)架構(gòu)與研究人員先前發(fā)布的有關(guān)Lazarus組織的ThreatNeedle組織的報告內(nèi)容相重疊。此外，谷歌提到的惡意程序與ThreatNeedle(研究人員自2018年以來一直在跟蹤的惡意程序)相匹配。在調(diào)查相關(guān)信息時，一位外部研究員也確認(rèn)他也受到了這種攻擊的影響，并共享信息供研究人員調(diào)查。從受感染主機(jī)解密配置數(shù)據(jù)后，研究人員發(fā)現(xiàn)了其他C2服務(wù)器。在調(diào)查過程中，服務(wù)器仍在使用中，并且研究人員能夠獲取其他數(shù)據(jù)，分析服務(wù)器上存在的日志和文件。研究人員發(fā)現(xiàn)，已發(fā)布的基礎(chǔ)結(jié)構(gòu)不僅用于針對安全研究人員，而且還用于其他Lazarus攻擊。在研究人員進(jìn)行研究時，他們發(fā)現(xiàn)有大量的主機(jī)與C2通信。你可以點擊此處閱讀研究人員的公開報告。

在研究人員先前使用ThreatNeedle對Lazarus攻擊國防工業(yè)的攻擊進(jìn)行調(diào)查之后，研究人員發(fā)現(xiàn)了另一個名為CookieTime的惡意程序組織，該組織在一個主要針對國防工業(yè)的活動中使用。研究人員檢測到2020年9月和11月的活動，樣本可追溯到2020年4月。與Lazarus組織的已知惡意程序組織相比，CookieTime顯示出了不同的結(jié)構(gòu)和功能。該惡意程序使用HTTP協(xié)議與C2服務(wù)器通信。為了將請求類型傳播到C2服務(wù)器，它使用編碼的cookie值并從C2服務(wù)器獲取命令文件。 C2通信利用了隱寫技術(shù)，該技術(shù)以受感染的客戶端與C2服務(wù)器之間交換的文件形式來發(fā)起攻擊。偽裝成GIF圖像文件內(nèi)容，但包含來自C2服務(wù)器的加密命令和命令執(zhí)行結(jié)果。通過與本地CERT緊密合作，研究人員可以刪除攻擊時使用的基礎(chǔ)架構(gòu)，這樣就有機(jī)會研究命令和控制腳本。惡意程序控制服務(wù)器以多階段方式配置，并且僅將命令文件傳播給有攻擊目標(biāo)的主機(jī)。

在調(diào)查越南政府認(rèn)證局(VGCA)網(wǎng)站上的供應(yīng)鏈攻擊的工具時，研究人員發(fā)現(xiàn)第一個木馬程序包可追溯到2020年6月，它是使用PhantomNet惡意程序部署的插件進(jìn)行傳播的。研究人員對這些插件的分析表明，它與先前分析的CoughingDown惡意程序相似。研究人員通過分析攻擊中使用的每個攻擊工具以及該攻擊組織庫中的其他工具，已經(jīng)明白了其攻擊原理。最后，研究人員還根據(jù)最新發(fā)現(xiàn)探索了CoughingDown發(fā)生的原因。

2月10日，DBAPPSecurity發(fā)布了他們?nèi)ツ?2月發(fā)現(xiàn)的零日攻擊的詳細(xì)信息。除了漏洞利用程序本身的攻擊細(xì)節(jié)外，研究人員還提到BitterAPT在野外使用了該漏洞利用程序。盡管在初始報告中沒有提供任何相關(guān)后續(xù)信息來解釋發(fā)生的原因，但研究人員對此活動的調(diào)查證實，該漏洞實際上僅由該攻擊組織使用。研究人員為利用此漏洞的活動以及其他針對巴基斯坦和中國政府和電信公司的工具起了一個名稱——TurtlePower。研究人員還將此漏洞的出現(xiàn)與他們稱為Moses的攻擊聯(lián)系了起來。過去兩年中，Moses至少主導(dǎo)開發(fā)了五種修復(fù)程序。到目前為止，研究人員還能夠?qū)⑵渲幸恍┞┒蠢门c至少兩個不同的攻擊組織(BitterAPT和DarkHotel)聯(lián)系起來。目前，尚不清楚這些攻擊組織是如何通過直接購買或其他第三方提供商從Moses獲取攻擊的。在TurtlePower活動中，BitterAPT對受害目標(biāo)使用了各種各樣的工具，包括一個名為ArtraDownloader的第一階段有效載荷，一個名為Splinter的第二階段有效載荷，一個名為SourLogger的鍵盤記錄程序，一個名為SourFilling的信息竊取程序以及Mimikatz的變體，這樣做的目的就是收集特定的信息、文件并保持其訪問權(quán)限。這項特別活動似乎也只針對巴基斯坦和中國境內(nèi)的目標(biāo)。研究人員可以使用他們自己的數(shù)據(jù)來驗證針對巴基斯坦境內(nèi)的特定攻擊，CVE-2021-1732的使用在2020年6月至7月達(dá)到頂峰，但活動仍在進(jìn)行中。

在2020年，研究人員觀察到與“ Dropping Elephant”(又名Patchwork，Chinastrats)有關(guān)的新一波攻擊，重點針對中國和巴基斯坦的目標(biāo)。研究人員還注意到了該組織的傳統(tǒng)業(yè)務(wù)范圍以外的一些目標(biāo)，即對中東以及對非洲大陸的興趣日益增長。攻擊發(fā)生在該組織完善的TTP之上，其中包括使用旨在利用微軟 Office中的遠(yuǎn)程執(zhí)行代碼漏洞的惡意文檔以及在后期感染階段簽名的JakyllHyde(又名 BadNews)木馬。 Dropping Elephant為JakyllHyde引入了一種新的加載程序，研究人員將其命名為Crypta。該惡意程序包含阻礙檢測的機(jī)制，并且似乎是該APT攻擊組織最近的工具集的核心組成部分。在加載大量后續(xù)有效載荷(例如Bozok RAT，Quasar RAT和LokiBot)的情況下，已觀察到Crypta及其變體。研究人員研究期間發(fā)現(xiàn)的另一個木馬是PubFantacy。據(jù)研究人員所知，對此工具的研究結(jié)果從未被公開過，并且至少從2018年開始就已被用于攻擊Windows服務(wù)器。

研究人員最近發(fā)現(xiàn)了SideWinder攻擊組織在2018-2019年使用的一個以前未知的Android植入程序，研究人員將其稱為BroStealer。 BroStealer植入程序的主要目的是從受害者的設(shè)備中收集敏感信息，例如照片、SMS消息、通話記錄和來自各種消息傳播應(yīng)用程序的文件。盡管SideWinder使用Windows平臺開展了許多針對受害者的活動，但最近的報告顯示，該攻擊組織也通過移動平臺攻擊了目標(biāo)。

其他有趣的發(fā)現(xiàn)

在2019年2月，多家網(wǎng)絡(luò)安全公司監(jiān)測到了一系列惡意程序樣本，其中大多數(shù)與各種已知的APT組織相關(guān)。其中一些樣本無法與任何已知活動相關(guān)聯(lián)。由于攻擊技術(shù)的先進(jìn)性，其中一些還引起了研究人員的特別注意。盡管研究人員還沒有發(fā)現(xiàn)與任何其他已知惡意程序共享代碼，但樣本的編碼模式、樣式和技術(shù)卻出現(xiàn)了互相重疊的現(xiàn)象，這在Lambert的各個家庭中都可以看到。因此，研究人員將此惡意程序命名為Purple Lambert。 Purple Lambert由幾個模塊組成，負(fù)責(zé)監(jiān)控網(wǎng)絡(luò)目標(biāo)。它能夠為攻擊組織提供有關(guān)受感染系統(tǒng)的基本信息，并執(zhí)行接收到的有效載荷。它的功能使研究人員想起了另一個Gray Lambert。事實證明，Gray Lambert在多次攻擊中都替代了內(nèi)核模式的White Lambert植入程序。此外，Purple Lambert顯示出的功能類似于Grey Lambert和White Lambert，但本質(zhì)上還是有所不同。

總結(jié)

盡管某些攻擊組織的TTP(戰(zhàn)術(shù)、技術(shù)和過程)隨時間推移一直在演變，但其攻擊的成功性嚴(yán)重依賴于社會工程學(xué)，隨著其他攻擊組織迭代已有的工具集并擴(kuò)大他們的攻擊范圍，相應(yīng)的攻擊趨勢也發(fā)生了變化。以下是研究人員在2021年第一季度看到的主要趨勢：

研究人員在本季度發(fā)現(xiàn)的最主要的攻擊也許是SolarWinds攻擊。 SolarWinds再次向人們展示了供應(yīng)鏈攻擊的復(fù)雜攻擊程度，特別是這次攻擊顯示出了攻擊組織正在付出更多努力以進(jìn)行更好的隱藏并保持持久性攻擊。由于在SolarWinds產(chǎn)品中發(fā)現(xiàn)了非常多的零日漏洞，因此研究人員仍在調(diào)查這種攻擊的范圍。

另一個關(guān)鍵的攻擊趨勢是多個攻擊組織正利用微軟 Exchange的零日漏洞。最近，研究人員發(fā)現(xiàn)了另一個利用這些漏洞的攻擊。此外，Lazarus組織還利用了瀏覽器中的零日漏洞來攻擊其目標(biāo)。

本文翻譯自：https://securelist.com/apt-trends-report-q1-2021/101967/如若轉(zhuǎn)載，請注明原文地址。