六年多來，卡巴斯基的全球研究和分析團(tuán)隊（GReAT）一直在發(fā)布針對高級持續(xù)性威脅（APT）活動的季度摘要。這些總結(jié)是基于其以往的威脅情報研究撰寫的，旨在突出公眾應(yīng)該了解的重大事件和發(fā)現(xiàn)。

重點發(fā)現(xiàn)

6月初，卡巴斯基研究人員發(fā)現(xiàn)了一種針對iOS設(shè)備的惡意軟件活動，稱之為“Operation Triangulation”，能夠在沒有任何用戶交互的情況下，觸發(fā)系統(tǒng)內(nèi)漏洞，從而執(zhí)行任意惡意代碼。

事件之初，卡巴斯基在監(jiān)控公司專用于移動設(shè)備的Wi-Fi網(wǎng)絡(luò)流量時，注意到多個iOS手機(jī)存在可疑活動。由于無法從內(nèi)部檢查最新iOS設(shè)備，卡巴斯基通過創(chuàng)建相關(guān)設(shè)備的離線備份，使用移動驗證工具包的mvt-ios對其進(jìn)行檢查，最終發(fā)現(xiàn)了入侵痕跡。

研究發(fā)現(xiàn)，該惡意軟件活動會通過iMessage服務(wù)向目標(biāo)iOS設(shè)備發(fā)送帶有漏洞利用程序的附件，能夠在沒有任何用戶交互的情況下，觸發(fā)導(dǎo)致代碼執(zhí)行的漏洞。然后，該漏洞利用程序會從C&C服務(wù)器下載多個漏洞代碼，其中包括用于提權(quán)的額外利用程序。

最后，從C&C服務(wù)器下載最終有效負(fù)載：一個高度復(fù)雜的間諜軟件植入物，名為“TriangleDB”。該植入程序在內(nèi)存中運行，定期與命令和控制（C2）基礎(chǔ)設(shè)施通信以接收命令。該植入程序允許攻擊者瀏覽和修改設(shè)備文件，獲取存儲在鑰匙鏈中的密碼和憑證，檢索地理位置信息，以及執(zhí)行額外的模塊，進(jìn)一步擴(kuò)展他們對受感染設(shè)備的控制。

俄語地區(qū)的活動

俄烏沖突點燃了世界各地多個派系的攻擊活動。網(wǎng)絡(luò)攻擊激增，各種黑客組織紛紛站隊。在民族主義理想和動機(jī)的推動下，Killnet迅速成為親俄情緒最為高漲的黑客組織之一。與“奇幻熊”和“沙蟲”等具有俄羅斯情報機(jī)構(gòu)背景的俄羅斯黑客組織不同，Killnet更像是一個“憤怒的、民族主義的在線暴徒”，其以一種情緒化的方式運作，且只具備低級的網(wǎng)絡(luò)攻擊工具和策略。

Killnet主要使用分布式拒絕服務(wù)（DDoS）攻擊作為破壞手段。在眾多盟友和不斷增長的粉絲基礎(chǔ)的支持下，它已經(jīng)成功地瞄準(zhǔn)了北約附屬的多個實體，包括拉脫維亞、立陶宛、挪威、意大利和愛沙尼亞等。它最近的攻擊已經(jīng)擴(kuò)展到美國的醫(yī)療機(jī)構(gòu)，同時還泄露了來自不同實體的文件，試圖在對手中造成心理和組織上的影響。

研究人員稱，Killnet的成功之處不在于其技術(shù)先進(jìn)性或滲透和破壞網(wǎng)絡(luò)的能力，而是對攻擊成果的宣揚，包括通過公告視頻和水印圖像等形式開展媒體公關(guān)。

西班牙語地區(qū)的活動

自2015年開始，KelvinSecurity組織便始終處于活躍狀態(tài)。KelvinSecurity通常以Kristina的名義運作，該組織通常利用fuzzing技術(shù)和常見的漏洞來鎖定受害者，對工具的使用駕輕就熟并且對漏洞有非常深入的研究。通常該組織瞄準(zhǔn)的對象都是有共同的基礎(chǔ)技術(shù)或基礎(chǔ)設(shè)施。他們在網(wǎng)絡(luò)犯罪論壇和通信渠道（如Telegram）上公開分享新的漏洞、目標(biāo)和數(shù)據(jù)庫等信息，還經(jīng)常分享其工具清單和有效載荷。

除此之外，研究人員還發(fā)現(xiàn)了針對哥倫比亞政府實體的“BlindEagle”間諜活動，該活動至少從今年3月便開始活躍。據(jù)分析，BlindEagle以南美的機(jī)構(gòu)和公司為目標(biāo)，主要從事網(wǎng)絡(luò)間諜活動，同時也從事金融信息盜竊。

在最近的一份報告中，研究人員發(fā)現(xiàn)該威脅組織利用了Quasar RAT的修改版本，將其重新用作銀行木馬，專門針對哥倫比亞金融實體的客戶。然而，在最新的活動中，BlindEagle已將其重點轉(zhuǎn)移到另一種被稱為“njRAT”的開源RAT，其主要目標(biāo)是對其受害者進(jìn)行間諜活動。

中東地區(qū)的活動

研究人員最近從一個針對伊朗政府實體的活動中獲得了JackalControl C2通信，該活動一直持續(xù)到2023年4月初。其背后組織GoldenJackal是2020年發(fā)現(xiàn)的一個APT組織，主要針對中東和南亞的知名實體。

多年來，卡巴斯基實驗室的研究人員一直在監(jiān)測該組織，并觀察到這是一個極其專業(yè)的組織。該組織的主要開發(fā).NET惡意軟件、JackalControl、JackalWorm、JackalSteal等特定工具集，目的是控制受害者計算機(jī)；在使用可移動驅(qū)動器的系統(tǒng)中傳播；從受感染的系統(tǒng)中竊取某些文件；竊取憑據(jù)；收集有關(guān)本地系統(tǒng)和用戶網(wǎng)絡(luò)活動的信息等。根據(jù)工具集和攻擊者的行為，研究人員認(rèn)為GoldenJackal APT組織的主要動機(jī)是間諜活動。

此次，研究人員還發(fā)現(xiàn)了兩個新的惡意軟件樣本——“JackalPerInfo”和“JackalScreenWatcher”——并將其與GoldenJackal組織聯(lián)系起來，懷疑它們自2020年以來便一直是其工具集的一部分。這些工具主要用于攻擊的后利用階段，從受感染的主機(jī)收集屏幕截圖和各種文件。

4月26日，一個第三方公開描述了BellaCiao（一個惡意腳本dropper），并將其與Charming Kitten（又名APT35）聯(lián)系在一起。之后，卡巴斯基研究人員檢索了幾個BellaCiao樣本，包括未記錄的變體，并提供了額外的IoC，以及相關(guān)惡意活動和工具的上下文信息，結(jié)果發(fā)現(xiàn)攻擊者可能利用面向互聯(lián)網(wǎng)的服務(wù)器上的漏洞來部署B(yǎng)ellaCiao。這些行動至少可以追溯到2022年5月，而對惡意基礎(chǔ)設(shè)施的分析結(jié)果表明，潛在行動可能從2021年就已開始。

雖然攻擊者主要利用Plink在惡意基礎(chǔ)設(shè)施和目標(biāo)服務(wù)器之間建立隧道，但它也利用了用Rust編寫的開源工具“bore”。此外，研究人員還發(fā)現(xiàn)了WatchMaster，這可能是一個相關(guān)的工具，它試圖動態(tài)刪除asp.net文件（除了IIS服務(wù)器上的一些web shell）。根據(jù)遙測數(shù)據(jù)顯示，至少從2022年11月開始，BellaCiao就被用來攻擊阿富汗、奧地利、以色列和土耳其的目標(biāo)。此外，一些樣本的內(nèi)容表明，植入程序還可能被用來攻擊意大利的組織。攻擊者使用BellaCiao到達(dá)RDP服務(wù)器，并從受攻擊的組織獲取憑據(jù)。

在之前關(guān)于OilRig APT的報告中，研究人員分析了2022年8月針對約旦一家IT公司的針對性攻擊，并認(rèn)為這可能是針對政府機(jī)構(gòu)的供應(yīng)鏈攻擊。那次入侵在2022年9月消失了，并在2022年11月左右又使用更新的工具重新出現(xiàn)，隨后再次消失。最近，研究人員發(fā)現(xiàn)了一組新的樣本，與之前針對約旦公司的入侵相似，同時還有類似的TTP。然而，不同之處在于此次入侵發(fā)生在阿聯(lián)酋的一家IT公司。

東南亞和朝鮮半島

2022年9月初，卡巴斯基研究團(tuán)隊檢測到了幾個來自MATA集群的惡意軟件，目標(biāo)是東歐的國防承包商。該活動一直持續(xù)到2023年3月。在進(jìn)一步擴(kuò)大研究范圍后，研究人員發(fā)現(xiàn)了具有完整感染鏈的其他新的活躍活動，包括設(shè)計用于通過U盤在氣隙（air-gapped）網(wǎng)絡(luò)中運行的植入物，以及Linux MATA后門。

更新的MATA惡意軟件使用魚叉式網(wǎng)絡(luò)釣魚技術(shù)進(jìn)行分發(fā)，同時攻擊者使用驗證程序在多個階段部署惡意軟件。威脅行為者還濫用了受害者使用的各種安全和反惡意軟件解決方案。新的MATA編排器對其加密、配置和通信協(xié)議進(jìn)行了多項修改，看起來像是從頭開始重寫的。下一代MATA包括規(guī)避網(wǎng)絡(luò)限制的新功能，允許攻擊者在受害者網(wǎng)絡(luò)中構(gòu)建復(fù)雜的代理鏈，并創(chuàng)建用于C2通信的各種通信協(xié)議的“堆棧”。

研究人員還發(fā)現(xiàn)了一個新的變種，MATAv5。這個復(fù)雜的惡意軟件，完全是從頭開始重寫的，展示了一個先進(jìn)而復(fù)雜的架構(gòu)，利用可加載和嵌入式模塊和插件。MATAv5能夠在不同的進(jìn)程中同時作為服務(wù)和DLL運行。該惡意軟件利用內(nèi)部進(jìn)程間通信（IPC）通道，并使用各種命令，使其能夠跨各種協(xié)議建立代理鏈，包括在受害者的環(huán)境中。

雖然MATAv5經(jīng)歷了實質(zhì)性的發(fā)展，并且與先前版本共享的代碼極少，但在協(xié)議、命令和插件結(jié)構(gòu)方面仍然存在相似之處。這些相似之處表明，在不同迭代的惡意軟件中，實現(xiàn)功能的方法是一致的。

研究人員還一直在追蹤一個未知的惡意軟件集群，被稱為“ScoutEngine”。最初，研究人員并未發(fā)現(xiàn)其與已知惡意軟件或威脅參與者存在相似之處。然而，在仔細(xì)檢查整個惡意軟件后，結(jié)果發(fā)現(xiàn)該惡意軟件自2020年以來便一直處于持續(xù)開發(fā)狀態(tài)。ScoutenEngine存在多個版本（從2.1到2.3），且每個版本都有不同的感染方案，隨著版本的發(fā)展，惡意軟件開發(fā)者已經(jīng)更新了檢索下一階段有效載荷和配置數(shù)據(jù)、解密密鑰和C2通信格式的方法。

ScouEngine的目標(biāo)是根據(jù)攻擊者的命令獲取額外的有效負(fù)載，并在內(nèi)存中執(zhí)行它們。不幸的是，研究人員目前無法確定最終的有效載荷。不過，一個肯定的結(jié)論是：ScouEngine集群歸屬于Lazarus group。它的組件和配置與Lazarus惡意軟件非常相似，特別是，ScoutenEngine采用了一種不同尋常的方法（以前曾在CookieTime惡意軟件中觀察到）來生成注冊表路徑并獲取配置數(shù)據(jù)。

3月29日，CrowdStrike發(fā)布了一個關(guān)于供應(yīng)鏈攻擊的警報，該攻擊影響了流行的3CXDesktopApp VoIP軟件。在其報告中，他們暫時將正在進(jìn)行的攻擊歸因于Lazarus group。在調(diào)查與3CX攻擊相關(guān)的活動時，卡巴斯基研究人員發(fā)現(xiàn)了另一個針對Trading Technologies開發(fā)的X_TRADING軟件的供應(yīng)鏈攻擊的證據(jù)。這種攻擊自2021年底以來便一直存在，與3CX活動有相似之處。

此外，研究人員發(fā)現(xiàn)3CX攻擊的幕后主使（也認(rèn)為是Lazarus），正在使用被命名為“Gopuram”的后門來攻擊3CX入侵的選定受害者?？ò退够鶎opuram的分析可以追溯到2020年，同時期發(fā)現(xiàn)的還有已知與Lazarus有關(guān)的AppleJeus惡意軟件。

此外，研究人員最近還發(fā)現(xiàn)了一個“BlueNoroff”活動，該活動利用木馬化的PDF閱讀器實現(xiàn)了新的惡意軟件交付方法，主要針對Windows和macOS系統(tǒng)。該惡意軟件被設(shè)計為只在受害者打開惡意PDF文件時執(zhí)行，一旦打開，PDF閱讀器就會從PDF文件中檢索誘餌PDF文檔的偏移量和C2 URL。

研究表明，這次攻擊中使用的誘餌文件與風(fēng)險投資和政府機(jī)構(gòu)的調(diào)查報告有關(guān)。一旦惡意軟件成功檢索到這些信息，它就會將受害者的數(shù)據(jù)發(fā)送到遠(yuǎn)程服務(wù)器，并啟動執(zhí)行來自攻擊者服務(wù)器的額外有效負(fù)載。這是BlueNoroff組織第一次實施macOS惡意軟件。此外，該組織在攻擊的初始階段使用了編譯的AppleScript，而木馬化的PDF閱讀器所獲取的惡意軟件是使用Rust編程語言創(chuàng)建的。這是BlueNoroff組織第一次使用Rust作為惡意軟件。由于目標(biāo)環(huán)境的多樣性，BlueNoroff小組使用了額外的編程語言和方法來有效地交付其惡意軟件。

過去幾年，亞太地區(qū)一直是各種威脅行為者進(jìn)行網(wǎng)絡(luò)攻擊的熱點地區(qū)。在活躍于該地區(qū)的眾多APT組織中，有一些將重點放在了巴基斯坦受害者身上，其中一個被命名為“Mysterious Elephant”。分析發(fā)現(xiàn)，Mysterious Elephant使用的一些工具與該地區(qū)其他威脅行為者以前使用的舊工具有相似之處，例如，早期版本的Rover后門是由SideWinder和Confucius使用。

不過，在最新活動中，該組織開始使用新的后門家族，并通過RTF文檔利用CVE-2017-11882漏洞進(jìn)行傳播。此文檔通過另一個作為遠(yuǎn)程模板的魚叉式網(wǎng)絡(luò)釣魚文檔下載。后門模塊使用遠(yuǎn)程過程調(diào)用（RPC）與其C2服務(wù)器建立通信，并能夠在受害者的機(jī)器上執(zhí)行文件或命令，以及從C2服務(wù)器接收文件或命令，以便在受感染的計算機(jī)上執(zhí)行。

隨著微軟禁用宏嵌入Office文檔，威脅行為者開始采用新的惡意軟件傳播方法，其中包括ScarCruft組織，他們迅速改變了最初的感染策略。該組織經(jīng)營著兩個名為“Chinotto”和“RokRat”的集群。雖然他們以往嚴(yán)重依賴宏嵌入的Word文檔，但他們不斷采用其他文件格式，例如編譯的HTML（. chm）和Windows快捷方式（. lnk）文件。此外，為了規(guī)避網(wǎng)絡(luò)標(biāo)記（MOTW）攻擊，這些文件以歸檔文件格式（如.rar和.zip）或光盤映像（. iso）文件格式交付。盡管對初始感染載體進(jìn)行了持續(xù)測試，但這些行為者堅持使用相同的最終有效載荷。Chinotto集群仍然使用Chinotto PowerShell腳本作為最終有效載荷，它負(fù)責(zé)在受害者的計算機(jī)上執(zhí)行Windows命令。

同樣，RokRat惡意軟件通過復(fù)雜的感染程序傳遞給受害者。這表明威脅行為者在初始感染載體上投入了大量精力，同時仍然依賴于相同的最終有效載荷。

原文鏈接：https://securelist.com/apt-trends-report-q2-2023/110231/