2021年第二季度全球APT趋势报告(二)
2021-08-21
来源:嘶吼专业版
中东地区的APT活动
2020年底,一个自称“黑影”(BlackShadow)的黑客组织竟向以色列一家保险公司勒索价值100万美元的比特币,否则就公布该公司被泄漏的数据。从那以后,该组织就一战成名,之后该组织就攻击了以色列的另一家公司,并在 Telegram 上发布了大量包含客户相关信息的文件。在此之后,研究人员在追踪分析中发现了该组织独特的 .NET 后门的几个样本,这些样本以前研究人员不知道,其中一个最近在沙特阿拉伯被发现。通过以研究人员在这些样本中观察到的新基础设施指标为中心,研究人员能够找到一个特定的 C2 服务器,该服务器与恶意 Android 植入程序联系并显示出与该组织活动的联系。
研究人员之前报道了针对中东目标的 WildPressure 活动,跟踪分析后,研究人员找到了他们的 C++ 木马的更新版本 (1.6.1)、具有相同版本的相应 VBScript 变体和一组全新的模块,包括一个 orchestrator (MySQL 复制拓扑管理和可视化工具)和三个插件。这证实了研究人员之前的假设,即基于C2通信协议中包含“客户端”编程语言的一个字段,除了c++之外还有更多的“最后阶段”。WildPressure使用的另一种语言是Python。Windows的PyInstaller模块包含一个名为“Guard”的脚本。也许最有趣的发现是,这个恶意程序是针对Windows和macOS操作系统开发的。在本例中,硬编码版本是2.2.1。在攻击者使用的所有编程语言中,其编码风格、整体设计和 C2 通信协议都非常可识别。WildPressure 使用的恶意程序在版本和使用的编程语言方面仍在积极开发中。尽管研究人员无法将 WildPressure 的活动与其他攻击者联系起来,但研究人员确实在 BlackShadow 使用的 TTP(战术、技术和程序)中发现了某些相似之处,BlackShadow 在同一地区也很活跃。然而,研究人员认为这些相似之处的证据太少,说明不了什么问题。
研究人员发现了一个正在进行的活动,研究人员认为这是一个名为WIRTE的攻击者,该活动从 2019 年底开始,针对多个地区,重点是中东。WIRTE 是一个鲜为人知的攻击者,于 2019 年首次公开提及,研究人员怀疑它与 Gaza Cyber组织有关系,据了解,该组织是一个具有政治动机的阿拉伯语背景的网络犯罪组织。在2月份,攻击者使用VBS/VBA植入程序,进行MS Excel 释放,攻击者使用隐藏的电子表格和 VBA 宏来释放他们的第一阶段植入程序——VBS 脚本。VBS 脚本的主要功能是收集系统信息并执行攻击者发送的任意代码。尽管研究人员最近报道了一种用于侦察和分析活动的新的 Muddywater 第一阶段 VBS 植入程序,但这些恶意攻击程序具有略有不同的 TTP 和更广泛的目标。迄今为止,研究人员记录的受害者集中在中东和该地区以外的其他一些国家。尽管各行各业都受到影响,但重点主要是政府和外交机构;然而,研究人员也注意到针对律师事务所的不同寻常的攻击。
GoldenJackal 是研究人员最近在追踪分析中发现的活动集群的名称,自 2019 年 11 月以来一直处于活动状态。此恶意攻击程序由一组基于 .NET 的植入程序组成,旨在控制受害设备并窃取某些来自他们的文件,这表明该攻击者的主要动机是间谍活动。此外,在与中东外交机构相关的一组受限设备中发现了植入程序。对上述恶意程序以及随附的检测日志的分析描绘了一个有能力且适度隐蔽的攻击者。这可以通过研究人员遇到的少数组织中的潜在攻击者所获得的成功立足点得到证实,同时始终保持低签名和模糊的足迹。
东南亚及朝鲜半岛的 APT活动
ScarCruft(也称为Reaper和123组织)是亚洲地区最活跃的APT组织之一。据卡巴斯基实验室称,该组织还一直瞄准世界各地的外交团队。ScarCruft的受害者包括中国、印度、韩国、科威特和尼泊尔的政府机构。研究人员观察到 ScarCruft 在 1 月份入侵了一个与朝鲜相关的新闻媒体网站,攻击一直持续到 3 月份。在这次攻击中,攻击者使用了与Powerfall行动相同的漏洞链CVE-2020-1380和CVE-2020-0986。根据漏洞利用代码和攻击方案特征,研究人员怀疑Operation PowerFall与ScarCruft组织有联系。漏洞利用链包含 shellcode 执行的几个阶段,最终在内存中部署 Windows 可执行载荷。研究人员发现了来自韩国和新加坡的几名受害者。除了这种水坑攻击之外,该组织还使用了隐藏其有效载荷的 Windows 可执行恶意程序。这种被称为“ATTACK-SYSTEM”的恶意程序还使用多阶段 shellcode 攻击来传送名为“BlueLight”的相同最终有效载荷。BlueLight在C2中使用OneDrive,从历史上看,ScarCruft恶意程序,尤其是RokRat,利用个人云服务器作为C2服务器,如pCloud、Box、Dropbox和Yandex。
2020 年 5 月,中国台湾刑事调查局 (CIB) 发布了关于一份针对台湾立法者的攻击的公告。公告中称一名身份不明的攻击者使用虚假的总统府电子邮件帐户发送鱼叉式网络钓鱼电子邮件,研究人员将其所含的恶意程序称之为“Palwan”。Palwan 是一种恶意程序,能够执行基本的后门功能以及下载具有附加功能的更多模块。在分析恶意程序时,研究人员发现了另一个针对尼泊尔的并行活动。研究人员还发现,在 2020 年 10 月和今年 1 月,使用 Palwan 恶意程序变体对尼泊尔发起了两波攻击。研究人员怀疑尼泊尔的目标行业与台湾 CIB 报告的行业相似。在调查尼泊尔运动中使用的基础设施时,研究人员发现与 Dropping Elephant 活动重叠。但是,研究人员认为这种重叠不足以将此活动归因于 Dropping Elephant 幕后的开发者。这种被称为“Dropping Elephant”(又被称为“Chinastrats”)的网络犯罪攻击行动可以说是并不复杂。受攻击目标主要为多个同中国和中国国际事务有关的外交和政府机构。尽管攻击者只配备了较旧的漏洞利用程序和普通的攻击工具,但他们还是针对多个高级目标进行了攻击,包括一些西方国家机构。
Bluenoroff以攻击全球的金融公司而出名,最近该组织又添加了调取加密货币的业务。自 2020 年研究人员对 BlueNoroff 的“SnatchCrypto”活动跟踪分析以来,该组织传播恶意程序的策略已经发生了变化。在此活动中,BlueNoroff 使用了一个利用远程模板注入漏洞 CVE-2017-0199 的恶意 Word 文档。注入的模板包含一个 Visual Basic 脚本,该脚本负责解码来自初始 Word 文档的下一个有效载荷并将其注入到合法进程中。注入的有效载荷会在受害者的设备上创建一个持久的后门。研究人员观察到了几种类型的后门。为了进一步监控受害者,攻击者还可能部署其他工具。BlueNoroff 特别为此活动建立了虚假的区块链或与加密货币相关的公司网站,以引诱潜在受害者并启动攻击过程。攻击者使用了大量诱饵文件,其中包含业务和保密协议以及业务介绍。与之前的 SnatchCrypto 活动相比,BlueNoroff 组织使用了类似的后门和 PowerShell 代理,但更改了初始攻击媒介。附加到鱼叉式网络钓鱼电子邮件的 Windows 快捷方式文件曾经是攻击的起点,不过它们现在已被武器化的 Word 文档所取代。
研究人员发现了使用修订后的攻击方案和针对韩国各行业的自定义勒索软件的 Andariel 活动。4 月,研究人员观察到一个包含韩文文件名和诱饵的可疑文件上传到 VirusTotal。这表明攻击者使用了一个新的攻击方案和一个陌生的有效载荷。Malwarebytes最近发布了一份报告,其中包含有关同一家族攻击的技术细节,并将其归咎于 Lazarus 组织。经过深入分析,研究人员得出了不同的结论—— Andariel组织是这些攻击的幕后黑手。此活动中的第二阶段有效载荷与来自 Andariel 组织的以前恶意程序之间的代码重叠。除了代码相似性和受害者相同外,研究人员还发现了与 Andariel 组织的其他联系。每个攻击者在后开发阶段与后门 shell 交互工作时都有一个独特的习惯。此活动中使用 Windows 命令及其选项的方式与之前的 Andariel 活动几乎相同。自 2020 年年中以来,攻击者一直在传播第三阶段的有效载荷,并利用恶意 Word 文档和模仿 PDF 文档的文件作为攻击媒介。值得注意的是,除了最后一个后门,研究人员还发现一名受害者攻击了自定义勒索软件。这种勒索软件为这次 Andariel 活动增加了另一个方面,该活动之前对 ATM 进行过攻击。
研究人员最近在东南亚发现了一次由 LuminousMoth 的攻击者发起的大规模、高度活跃的攻击。进一步分析显示,这种恶意活动可以追溯到 2020 年 10 月,并且在 6 月仍在进行中。LuminousMoth 利用 DLL 侧加载来下载和执行 Cobalt Strike 载荷。然而,这种攻击最有趣的部分可能是它通过攻击 USB 驱动器传播到其他主机的能力。除了恶意 DLL 之外,攻击者还在一些受攻击的系统上部署了流行应用程序 Zoom 的伪造签名,这样攻击者就能够窃取文件;以及通过从 Chrome 浏览器窃取 cookie 来访问受害者 Gmail 会话的附加工具。基础设施关系以及共享的 TTP 暗示 LuminousMoth 和 HoneyMyte 威胁组织之间可能存在联系,该组织过去曾针对同一地区并使用类似的工具发起过攻击。这种活动早期大多数发生在缅甸,但现在看来攻击者在菲律宾更为活跃,已知的攻击次数增加了十倍以上。这就提出了一个问题,即这种攻击是不是专门针对菲律宾设计的。
研究人员最近报道了 SideCopy 活动与基于 Android 的植入一起攻击 Windows 平台。事实证明,这些植入程序是由多个应用程序组成的,充当信息窃取程序,从受害者的设备中收集敏感信息,例如联系人列表、短信、通话录音、媒体和其他类型的数据。随后,研究人员发现了其他恶意 Android 应用程序,其中一些声称是已知的消息应用程序,例如 Signal 或成人聊天平台。这些新发现的应用程序使用 Firebase 消息传递服务作为接收命令的通道。操作员可以控制Dropbox或其他硬编码服务器是否被用于窃取文件。
其他有趣的 APT活动
研究人员扩展了针对CVE-2021-1732漏洞的研究,该漏洞最初由DBAPPSecurity Threat Intelligence Center发现,由Bitter APT小组使用,研究人员发现了另一个可能在亚太地区使用的零日漏洞。有趣的是,该漏洞是作为一个单独框架的一部分被发现的,与CVE-2021-1732以及其他之前被修补过的漏洞一起被发现的。研究人员非常确信,这个框架与Bitter APT完全无关,被不同的攻击者使用过。进一步分析表明,至少从2020年11月起,这种特权升级(EoP)漏洞就有可能在野外使用。发现后,研究人员在2月份向微软报告了这个新的漏洞。微软经过确认,将其命名为 CVE-2021-28310。
漏洞中留下的各种痕迹和文物意味着研究人员也非常确信CVE-2021-1732和CVE-2021-28310是由“Moses”漏洞开发人员创建的。“Moses”似乎是一名漏洞利用开发人员,他根据过去的其他漏洞利用情况,向多个攻击者提供漏洞利用。迄今为止,研究人员已经确认至少有两个已知的攻击者利用了最初由 Moses 开发的漏洞:Bitter APT 和 Dark Hotel。基于类似的标记和工件,以及从第三方私下获得的信息,研究人员认为过去两年在野外至少观察到的有六个漏洞源自“ Moses ”。虽然 EoP 漏洞是在野外发现的,但研究人员目前无法将其直接与目前正在跟踪的任何已知攻击者联系起来。EoP 漏洞利用可能与其他浏览器漏洞利用链接在一起,以逃避沙箱并获得系统级权限以进行进一步访问。不幸的是,研究人员无法捕获完整的漏洞利用链,因此研究人员不知道该漏洞利用是否与其他浏览器零日漏洞一起使用,或者与利用已知已修补漏洞的漏洞利用相结合。
在 ProxyLogon 和其他 Exchange 漏洞被曝光后,研究人员发现APT 攻击者对 Exchange 服务器的攻击激增,他们注意到了一个独特的活动集群,这引起了研究人员的注意,因为至少从 2020 年 12 月起,它背后的攻击者似乎一直在攻击Exchange 服务器,而且使用的工具集都是新开发的。在3月份,几波针对Exchange服务器的攻击被曝光,所变现出来的活动与研究人员观察到的相同。部分描述了研究人员观察到的相同活动集群。据ESET报道,其中一项评估显示,该活动背后的攻击者在其公开发布之前就已经获得了交易所的漏洞,这与研究人员去年对其早期活动的观察相符。尽管如此,没有一个公共账户描述了完整的感染链,以及作为该组织行动一部分的恶意程序部署的后期阶段。
4 月 15 日,Codecov 公开披露其 Bash Uploader 脚本已被泄露。Bash Uploader 脚本由 Codecov 公开传播,旨在收集有关用户执行环境的信息,收集代码覆盖率报告,并将其发送到 Codecov 基础设施。因此,这种脚本入侵有效地构成了供应链攻击。Bash 上传程序脚本通常在开发和测试环境中作为受信任的资源执行(包括作为自动化构建过程的一部分,例如持续集成或开发管道);它的入侵可能会导致恶意访问基础设施或帐户机密,以及代码存储库和源代码。虽然研究人员还无法确认恶意脚本部署、检索有关受攻击目标的任何信息或识别进一步相关的恶意工具,但研究人员能够收集受攻击 Bash 上传程序脚本的一个样本,并识别一些可能关联的额外恶意服务器。
在微软4 月发布了更新后,一些可疑二进制文件文件引起了研究人员的注意,它们伪装成“2021年4月安全更新安装程序”。他们使用有效的数字签名进行签名,提供 Cobalt Strike 信标模块。这些模块很可能是用窃取的数字证书签名的。这些 Cobalt Strike 信标植入程序配置有硬编码的 C2,“code.microsoft.com”。目前研究人员可以确认微软的基础设施没有受到攻击。事实上,未经授权的一方接管了悬空的子域“code.microsoft.com”并将其配置为解析到他们的 Cobalt Strike 主机,大约在 4 月 15 日设置。该域托管了 Cobalt Strike 信标有效载荷,使用特定且唯一的用户代理服务于 HTTP 客户端。
4 月 14 日至 15 日,卡巴斯基检测到一波针对多家公司的高度针对性攻击,所有这些攻击都利用了 Google Chrome 和 Microsoft Windows 零日漏洞链。虽然研究人员目前还无法在 Chrome 网络浏览器中检索用于远程代码执行 (RCE) 的漏洞,但研究人员能够找到并分析用于逃离沙箱并获取系统权限的权限提升 (EoP) 漏洞。EoP 漏洞利用经过微调,可以针对 Windows 10 的最新和最突出的版本(17763 – RS5, 18362 – 19H1, 18363 – 19H2, 19041 – 20H1, 19042 – 20H2),它利用 Microsoft Windows 操作系统内核。4 月 20 日,研究人员向 Microsoft 报告了这些漏洞,他们将 CVE-2021-31955 分配给信息披露漏洞,将 CVE-2021-31956 分配给 EoP 漏洞。这两个漏洞都在 6 月 8 日进行了修复。漏洞利用链试图通过释放程序在系统中安装了恶意程序。恶意程序以系统服务的形式启动并加载有效载荷,这是一个“远程shell”式的后门,它反过来连接到C2获取命令。到目前为止,研究人员还没有找到任何与已知攻击者的联系或重叠。因此,研究人员暂时将这个活动集群称为PuzzleMaker。
总结
通过分析,攻击者的 TTP 一直在与时俱进,除了严重依赖社会工程外,他们还更新了工具集并扩展了他们的活动范围。