?[[418858]]?

更有有針對性的攻擊

與Cycldek有關的攻擊

卡巴斯基實驗室的研究人員4月份發(fā)現(xiàn)了一個名為“FoundCore”的文件，該惡意軟件樣本是在針對位于越南的知名組織的攻擊中發(fā)現(xiàn)的，經(jīng)過分析，它的攻擊功能相較于“DLL側加載三步法”有了很大的改進，所謂的“DLL側加載三步法”就是合法的可執(zhí)行文件、由它側加載的惡意 DLL 和編碼的有效載荷，通常在自解壓文件中自行執(zhí)行刪除程序。

??

在這個示例中，shellcode被嚴重混淆了。研究人員發(fā)現(xiàn)這個文件的加載程序非常有趣，所以研究人員決定將研究人員的目標惡意軟件逆向工程課程的一個軌道基于它。

最終的有效載荷是一個遠程管理工具，它可以讓操作員實現(xiàn)對受害計算機的完全控制。與服務器的通信可以通過使用 RC4 加密的原始 TCP 套接字或通過 HTTPS 進行。

在研究人員發(fā)現(xiàn)的絕大多數(shù)攻擊示例中，F(xiàn)oundCore 執(zhí)行之前都會打開從 static.phongay[.]com 下載的惡意 RTF 文件，所有這些文件都是使用 RoyalRoad 生成的，并試圖利用 CVE-2018-0802。所有這些文件都是空白的，這表明存在著前置文件(可能是通過魚叉式網(wǎng)絡釣魚或以前的感染方式傳播的)，它們觸發(fā)了RTF文件的下載。成功的漏洞利用導致攻擊者進一步部署名為DropPhone和CoreLoader的惡意軟件。

??

研究人員的追蹤分析數(shù)據(jù)顯示，，已有數(shù)十個組織受到影響，這些組織屬于政府或軍事部門，或其他與衛(wèi)生、外交、教育或政治垂直領域有關的組織。80%的目標在越南，其余地分布在中亞和泰國。

在野外使用的Windows的桌面管理器漏洞

在分析CVE-2021-1732漏洞時，研究人員發(fā)現(xiàn)了另一個零日漏洞。該漏洞首先由DBAPPSecurity Threat Intelligence Center發(fā)現(xiàn)，并被BITTER APT組織使用。研究人員在2月份向微軟報告了這個新的漏洞，在確認它確實是一個零日漏洞后，微軟發(fā)布了一個針對新的零日漏洞的補丁(CVE-2021-28310)，作為其4月份安全更新的一部分。

CVE-2021-28310是桌面窗口管理器(dwm.exe)中的dwmcore.dll中的一個越界 (OOB) 寫入漏洞。由于缺乏邊界檢查，攻擊者能夠創(chuàng)建一種情況，允許他們使用DirectComposition API以受控偏移量寫入受控數(shù)據(jù)。DirectComposition是一個Windows組件，在Windows 8中引入，以支持轉換、效果和動畫的位圖合成，并支持不同來源(GDI、DirectX 等)的位圖。

該漏洞最初是由卡巴斯基的漏洞預防技術和相關檢測記錄識別的，在過去幾年中，卡巴斯基在其產品中構建了多種漏洞利用保護技術，這些技術已檢測到多個零日漏洞，并一次又一次地證明了它們的有效性。

研究人員認為這個漏洞可能已經(jīng)被一些潛在的攻擊者廣泛使用，并且它可能與其他瀏覽器漏洞一起使用，以逃離沙箱或獲得系統(tǒng)權限以進行進一步訪問。

TunnelSnake活動

Windows rootkit，特別是那些在內核空間操作的rootkit，在系統(tǒng)中享有很高的權限，允許它們攔截和默默篡改底層操作系統(tǒng)進行的核心I/O操作，比如讀取或寫入文件，或處理傳出網(wǎng)絡數(shù)據(jù)包。它們能夠融入操作系統(tǒng)本身的結構，這就是rootkit如何獲得隱身和逃避的原因。然而，隨著時間的推移，在Windows中部署和執(zhí)行rootkit組件變得越來越困難。微軟引入的驅動程序簽名執(zhí)行和內核補丁保護(PatchGuard)使得篡改系統(tǒng)變得更加困難。因此，市面上的Windows rootkit數(shù)量急劇下降，大多數(shù)仍然活躍的rootkit經(jīng)常被用于APT攻擊。

而名為TunnelSnake的活動，rootkit在攻擊中就很少被使用到。攻擊者的目標主要是是東南亞和非洲的外交組織，針對這些目標可以在外部訪問到的主機進行攻擊，成功部署了Moriya rootkit，由于微軟引入了驅動強制簽名以及補丁檢測機制。Moriya是一個被動后門，被部署到外部可以訪問到的服務器上，通過安裝WFP過濾驅動檢查所有傳入受感染機器的流量，取出帶有特征字符串的流量包進行響應，因此它不包含硬編碼的C2地址，這使得對攻擊者的溯源難以進行。同時，Moriya在內核層網(wǎng)絡堆棧處理數(shù)據(jù)包之前截獲它們，也使得安全檢測難以發(fā)現(xiàn)它們。Moriya被用來在面向公眾的服務器上部署被動后門，建一個隱蔽的C2(命令和控制)通信通道，默默地控制著惡意軟件的行為。

??

該rootkit早在2019年11月就被研究人員發(fā)現(xiàn)，經(jīng)過追蹤分析，TunnelSnake至少從2018年以來就一直處于活躍狀態(tài)。

由于在活動期間附帶的 Rootkit 和其他橫向移動工具都不依賴于硬編碼的 C2 服務器，因此研究人員只能部分了解攻擊者的基礎設施。然而，除了 Moriya 之外，大部分檢測到的工具都包含專有和眾所周知的惡意軟件，這些惡意軟件以前被講中文的攻擊者使用過，這為攻擊者的來源提供了線索。

PuzzleMaker

4月14日至15日，研究人員檢測到一波針對多家公司的針對性很強的攻擊。更詳細的分析顯示，所有這些攻擊利用了谷歌Chrome和微軟Windows零日漏洞鏈。

雖然研究人員無法在Chrome web瀏覽器中檢索用于遠程代碼執(zhí)行(RCE)的漏洞，但研究人員能夠找到并分析用于逃離沙箱并獲得系統(tǒng)權限的升級權限(EoP)漏洞。此EoP漏洞經(jīng)過微調，可針對Windows 10的最新版本(17763 - RS5, 18362 - 19H1, 18363 - 19H2, 19041 - 20H1, 19042 - 20H2)，并利用Microsoft Windows OS內核中的兩個不同的漏洞。

4月20日，研究人員向微軟報告了這些漏洞，他們將CVE-2021-31955定性為信息泄漏漏洞，將 CVE-2021-31956 分配給 EoP 漏洞。漏洞利用鏈試圖通過滴管在系統(tǒng)中安裝惡意軟件，惡意軟件以系統(tǒng)服務的形式啟動并加載有效載荷，這是一個“遠程shell”式的后門，它依次連接到 C2 以獲取命令。

研究人員無法找到任何與已知攻擊組織的聯(lián)系或重疊，所以研究人員暫時將此活動命名為PuzzleMaker。

Andariel 在其工具集中添加了勒索軟件

今年4月，研究人員發(fā)現(xiàn)了一個可疑的Word文件，其中包含一個韓國文件名和上傳到VirusTotal的釣魚網(wǎng)站。該文件包含一個陌生的宏，并使用新技術植入下一個有效載荷。研究人員的分析顯示，這些攻擊中使用了兩種感染方法，且每個有效載荷都有自己的加載器在內存中執(zhí)行。攻擊者只向特定的受害者提供最后階段的有效載荷。

??

Malwarebytes發(fā)表了一份報告，其中包含了同一系列攻擊的技術細節(jié)，起初研究人員將其歸咎于Lazarus 組織。然而，經(jīng)過深入分析，研究人員得出的結論是，攻擊是Andariel組織(Lazarus的下屬組織)發(fā)起的。

從歷史上看，Andariel 主要針對韓國的組織，這次活動中也是如此。研究人員確認了制造、家庭網(wǎng)絡服務、媒體和建筑行業(yè)的幾名受害者。

研究人員還發(fā)現(xiàn)了與Andariel組織的其他聯(lián)系，每個攻擊者都有一個獨特的習慣，當他們在攻擊的后利用階段與后門shell 交互工作時。Windows命令及其選項在這次活動中使用的方式幾乎與之前的Andariel活動相同。

值得注意的是，除了最后一個后門外，研究人員還發(fā)現(xiàn)一名受害者感染了自定義勒索軟件。

Ferocious Kitten

“Ferocious Kitten”是一個APT攻擊者，目標似乎在伊朗說波斯語的人，該組織發(fā)起的攻擊最近才被發(fā)現(xiàn)。最近，由于推特上的研究人員將一份誘餌文件上傳到VirusTotal上并公開，該攻擊才受到了關注。

研究人員能夠擴展關于該組織的一些發(fā)現(xiàn)，并提供關于它使用的其他變體的分析。被稱為“MarkiRAT”的惡意軟件從誘餌文件中被釋放，記錄擊鍵、剪貼板內容，并提供文件下載和上傳功能，以及在受害者的電腦上執(zhí)行任意命令的功能?！癋erocious Kitten”至少從2015年就開始活躍了，旨在劫持Telegram和Chrome應用程序。

其他惡意軟件

JSWorm勒索軟件的迭代

研究人員最近發(fā)布了一個名為JSWorm的勒索軟件家族的分析報告，該惡意軟件于2019年被發(fā)現(xiàn)，從那時起，Nemty、nefilm、Offwhite等變體相繼出現(xiàn)。

??

每個“重新命名”的版本都包含了對代碼不同方面的修改，文件擴展名、加密方案、加密密鑰、編程語言和發(fā)布模型。自出現(xiàn)以來，JSWorm 已經(jīng)從一個典型的大規(guī)模勒索軟件威脅發(fā)展為主要影響個人用戶的軟件，已取得利益最大化。

Black Kingdom勒索軟件

Black Kingdom于2019年首次被發(fā)現(xiàn)，2020年，該組織被發(fā)現(xiàn)在攻擊中利用如CVE-2019-11510等漏洞。在最近的活動中，在最近的活動中，未知攻擊者利用該勒索軟件來利用 Microsoft Exchange 漏洞 (CVE-2021-27065，又名 ProxyLogon)。這個勒索軟件家族遠沒有其他的勒索軟件即服務(RaaS)復雜。該惡意軟件是用Python編寫的，并使用PyInstaller編譯為可執(zhí)行文件。該勒索軟件支持兩種加密模式，一種是動態(tài)生成的，另一種使用硬編碼密鑰。代碼分析顯示了在硬編碼密鑰的幫助下恢復被Black Kingdom加密的文件的可能性。在進行分析時，已經(jīng)有一個腳本可以恢復用嵌入密鑰加密的文件。

Black Kingdom 將桌面背景更改為提示系統(tǒng)在加密文件時被感染，同時禁用鼠標和鍵盤。

在對Python代碼進行反編譯后，研究人員發(fā)現(xiàn)Black Kingdom的代碼庫起源于GitHub上的一個開源勒索軟件構建器。該組織修改了部分代碼，添加了最初未在構建器中提供的功能，例如硬編碼的密鑰。研究人員無法將 Black Kingdom 歸因于任何已知的威脅組織。

Gootkit：謹慎的銀行木馬

Gootkit是一種復雜的多階段式銀行惡意軟件，最初是由Doctor Web在2014年發(fā)現(xiàn)的。最初，它是通過垃圾郵件和Spelevo和RIG等工具包傳播的。在與垃圾郵件活動相結合的情況下，這些攻擊者后來轉向了那些訪問者被誘騙下載惡意軟件的受感染網(wǎng)站。

Gootkit 能夠從瀏覽器中竊取數(shù)據(jù)、執(zhí)行瀏覽器中間人攻擊、鍵盤記錄、截屏以及許多其他惡意操作。木馬的加載程序執(zhí)行各種虛擬機和沙箱檢查，并使用復雜的持久性算法。

2019 年，Gootkit 在經(jīng)歷數(shù)據(jù)泄露后停止運營，但自 2020 年 11 月以來又活躍起來，大多數(shù)受害者位于德國和意大利等歐盟國家。

Bizarro銀行木馬擴展到歐洲

Bizarro 是另一個起源于巴西的銀行木馬家族，現(xiàn)在在世界其他地方也有發(fā)現(xiàn)。研究人員已經(jīng)看到有人在西班牙、葡萄牙、法國和意大利被攻擊。該惡意軟件已被用于竊取來自不同國家的 70 家銀行客戶的憑據(jù)。

Bizarro 是通過受害者從垃圾郵件中的鏈接下載的 MSI 包傳播的。啟動后，它會從受感染的網(wǎng)站下載 ZIP 壓縮文件。研究人員觀察到被黑客攻擊的WordPress, Amazon和Azure服務器被木馬用來存儲檔案。該后門是Bizarro的核心組件，包含100多條命令，攻擊者可以借此竊取網(wǎng)上銀行賬戶憑證。大多數(shù)命令用于顯示虛假的彈出消息，并試圖欺騙人們輸入雙因素身份驗證碼。該木馬還可能使用社交工程來說服受害者下載智能手機應用程序。

??

APKPure 應用中的惡意代碼

4 月初，研究人員在 APKPure 應用商店官方客戶端的 3.17.18 版本中發(fā)現(xiàn)了惡意代碼，這是一個流行的 Android 應用替代來源。該情況似乎與 CamScanner 發(fā)生的情況類似，當時該應用程序的開發(fā)人員從未經(jīng)驗證的來源實施了廣告軟件 SDK。

啟動時， HEUR:Trojan-Dropper.AndroidOS.Triada.ap 的嵌入式木馬釋放程序會解壓縮并運行其有效載荷，該有效載荷能夠在鎖定屏幕上顯示廣告、打開瀏覽器選項卡、收集有關設備，并下載其他惡意代碼。下載的木馬取決于 Android 版本以及最近安裝的安全更新。對于相對較新版本的操作系統(tǒng)(Android 8 或更高版本)，它會為 Triada 木馬加載其他模塊。如果設備較舊(Android 6 或 7，且未安裝安全更新)，則可能是 xHelper 木馬。

針對 Apple M1 芯片的惡意軟件

去年 11 月，蘋果推出了 M1 芯片。這款新芯片已在其多個產品中取代了英特爾處理器，它基于 ARM 架構，而不是傳統(tǒng)上用于個人計算機的 x86 架構。這為 Apple 完全切換到自己的處理器并在單一架構下統(tǒng)一其軟件奠定了基礎。不幸的是，在發(fā)布后的幾個月，惡意軟件的開發(fā)者就發(fā)布了針對新的處理器的惡意軟件。

嘗試使用 PHP 進行供應鏈攻擊

今年3月，未知的攻擊者試圖通過在PHP腳本語言中引入惡意代碼來實施供應鏈攻擊。PHP開發(fā)人員使用構建在GIT版本控制系統(tǒng)上的公共存儲庫對代碼進行更改。攻擊者試圖給代碼添加一個后門。

本文翻譯自：https://securelist.com/it-threat-evolution-q2-2021/103597/