2021年第三季度APT趋势报告(上)
2021-11-01
来源:嘶吼专业版
四年多来,卡巴斯基的全球研究和分析团队(GReAT)一直在发布高级持续攻击(APT)活动的季度摘要,这些摘要基于他们的攻击情报研究。
最值得注意的发现
去年12月报道的SolarWinds事件之所以引人注目,是因为攻击者极其小心,受害者的身份也备受瞩目。有证据表明,此次攻击的幕后主使DarkHalo(又名Nobelium) 已经在 OrionIT 的网络中花费了六个月的时间来完善他们的攻击。今年 6 月,也就是基于SolarWinds 开发的 DarkHalo的六个多月后,研究人员观察到了一个独联体成员国的多个政府区域的 DNS 劫持事件,这使得攻击者可以将流量从政府邮件服务器重定向到他们控制的计算机上,这可能是通过获取凭据来实现的受害者登记员的控制面板。当受害者试图访问他们的公司邮件时,他们被重定向到一个伪造的网络页面。随后,他们被诱骗下载了以前未知的恶意软件。这个被称为 Tomiris 的后门与 DarkHalo 去年使用的第二阶段恶意软件 Sunshuttle(又名 GoldMax)有许多相似之处。然而,Tomiris 和 Kazuar 之间也存在许多重叠,Kazuar 是一个与 Turla APT 攻击者相关联的后门。没有任何相似之处足以将 Tomiris 和 Sunshuttle联系起来。然而,这表明了它们有共同的开发者或共享开发代码的可能性。
俄语地区的APT活动
本季度,研究人员发现了几个典型的 Gamaredon 恶意感染文件、 dropper和植入程序;这可能表明针对乌克兰政府的恶意活动正在进行,可能从5月份开始就很活跃。目前研究人员还无法准确识别相关的感染链,因为他们只能检索到其中的一部分样本。但这并不影响研究人员将其归因于 Gamaredon。本文详细介绍了各种 dropper 以及解码器脚本,以及对 DStealer 后门和研究人员观察到的与该活动相关的大型基础设施的分析。
ReconHellcat 是一个鲜为人知的攻击者,于 2020 年被公开发现。其活动的第一个帐户可以追溯到去年 3 月,其中,MalwareHunterTeam 在推文中描述了一个带有包含恶意可执行文件的 COVID 相关诱饵文件名的archive, dubbed中的恶意植入程序。
BlackWater 反过来会释放并打开一个诱饵文件,然后作为 C2 服务器联系 Cloudflare Workers,这是其他攻击者在使用时通常不会使用的方法。自从首次发现这种攻击方式以来,类似的 TTP 已被用作 QuoIntelligence 涵盖的其他攻击的一部分,这表明潜在攻击者正在以有针对性的方式运作,同时追踪与政府相关的知名目标。这种活动似乎一直持续到 2021 年,当时研究人员发现了一系列最近使用相同技术和恶意软件的攻击,以在位于中亚的外交组织中站稳脚跟。在研究人员的私人报告中,研究人员描述了这项活动,着眼于攻击者对感染链中的元素所做的各种变化,这可能是由于之前公开曝光其活动造成的。
从那时起,研究人员发现了由 ReconHellcat 操作的其他文件。8 月到 9 月间出现了一个新的活动,其感染链不断发展。Zscaler 的研究人员也在一篇文章中介绍了这项活动。更新后的攻击活动中引入的一些变化包括依赖 Microsoft Word 模板 (。dotm) 来实现持久性,而不是以前使用的 Microsoft Word 加载项 (。wll)。尽管如此,一些 TTP 保持不变,因为新的感染链仍然提供相同的最终植入程序—— Blacksoul 恶意软件,并且仍然使用 Cloudflare Workers 作为 C2 服务器。ReconHellcat 的目标是塔吉克斯坦、吉尔吉斯斯坦、巴基斯坦和土库曼斯坦等中亚国家相关的政府组织和外交对象。此外,研究人员还确定了在前一波攻击中没有遇到的两个国家:阿富汗和乌兹别克斯坦。因此研究人员认为是ReconHellcat 的。
华语地区的活动
一名疑似为 HoneyMyte 的 APT 攻击者修改了南亚某国传播服务器上的指纹扫描仪软件安装程序包。APT 修改了一个配置文件,并将一个带有 .NET 版本的 PlugX 注入器的 DLL 添加到安装程序包中。在安装时,即使没有网络连接,。NET 注入器也会解密 PlugX 后门载荷并将其注入新的 svchost 系统进程,并尝试向 C2 发送信标。南亚某个国家的中央政府员工必须使用此生物识别包来支持记录出勤。研究人员将此供应链事件和此特定 PlugX 变体称为 SmudgeX,木马安装程序似乎已从 3 月就开始了。
在 2020 年和 2021 年期间,研究人员检测到一个名为 ShadowShredder 的新 ShadowPad 加载模块,该模块用于攻击多个国家/地区的关键基础设施,包括但不限于印度、中国、加拿大、阿富汗和乌克兰。经过进一步调查,研究人员还发现了通过 ShadowPad 和 ShadowShredder 部署的其他植入程序,例如 Quarian 后门、PlugX、Poison Ivy 和其他黑客工具。值得注意的是,Quarian 后门和 Poison Ivy 与之前针对中亚用户的 IceFog 活动表现出相似之处。ShadowPad 是 APT 组织自 2017 年以来一直使用的高度复杂的模块化网络攻击平台。当时研究人员发表了一篇博客,详细介绍了 ShadowPad 的技术细节及其最初发现后的供应链攻击活动,当时它被称为Barium或 APT41 的组织部署。在 2020 年第一季度,研究人员发布了有关发现 x64 ShadowPad 滴管样本的私人报告。加载模块使用了一种独特的反分析技巧,该技巧涉及加载模块在解密嵌入的 shellcode 之前,通过在加载模块的内存空间中查看一些硬编码字节来检查它是否是通过特定的 EXE 文件加载的。研究人员最近发现的ShadowShredder加载器并没有使用这种技术,而是采用了一种新的混淆方法。研究人员的报告讨论了与 ShadowShredder 和 ShadowPad 有关的第二阶段有效载荷的 ShadowShredder 和相关活动的技术分析。
ESET今年6月发表了一篇博客文章,描述了一场针对非洲和中东外交部长和电信公司的活动,他们称之为“后门外交”(BackdoorDiplomacy)。研究人员非常自信地将此活动与CloudComputating的攻击者联系起来,该攻击者以中东知名对象为目标。在调查中,ESET 发现了一个与 Windows 变体共享 C2 服务器的 Quarian Linux 变体样本,据报道,该变体样本是通过利用 F5 Networks 的 BIG-IP 流量管理用户界面或配置实用程序中的已知 RCE 漏洞 (CVE-2020-5902) 部署的。一年前的 2020 年 7 月,SANS ISC 报告中还提到在 F5 BIG-IP 服务器上部署了相同的 Quarian ELF 二进制文件。本文扩展了对 Quarian Linux 变体及其与 Windows 版本的联系的分析。
去年,研究人员描述了一场归因于 CloudComputating 的活动,其中 APT 攻击者利用了一个已知漏洞来破坏公开暴露的 Microsoft Exchange 服务器,并使用 China Chopper Web shell 感染它们。恶意载荷随后被用于上传其他恶意软件,通常是自 2010 年左右开始被攻击者使用的 Quarian 后门。该活动影响了埃塞俄比亚、巴勒斯坦和科威特。ESET 的博客文章使研究人员能够将他们的活动与研究人员去年 6 月描述的活动联系起来,并扩展研究人员之前的调查以寻找新的未知变体和受害者。本文也会介绍被称为 Turian 的 ESET 版本、另外两个以前未知的 Quarian 版本、用于生成恶意 Quarian 库的构建器组件的概述以及 IoC 的扩展列表。
ExCone 是 3 月中旬开始针对俄罗斯联邦目标发起的一系列攻击,攻击者利用 Microsoft Exchange 漏洞部署了一个被称之为 FourteenHI 的以前未知的木马。在研究人员之前的分析中,他们发现基础设施和 TTP 与 ShadowPad 恶意软件和 UNC2643 活动存在多种联系。但是,研究人员无法将该攻击归因于任何已知的攻击者。在研究人员的第一份报告之后,他们又发现了许多其他变体,它们扩展了研究人员对攻击者和活动本身的了解。研究人员发现了针对大量目标的新恶意软件样本,受害者位于欧洲、中亚和东南亚。研究人员还观察到其他各种供应商公开报告的一系列活动,研究人员能够非常自信地将这些活动与ExCone关联。最后,研究人员发现了一个新的恶意软件样本,它允许研究人员以将 ExCone 与 SixLittleMonkeys APT 组织联系起来。具体来说,研究人员发现了一个被 FourteenHI 和另一个未知后门攻击的受害者。这个新的“未知后门”与 FourteenHI 和 Microcin 有相似之处,Microcin 是一种专属于 SixLittleMonkeys 的木马。
本季度,研究人员还对南亚众所周知的攻击活动进行了调查。研究人员在 2019 年至 2021 年 6 月底期间发现了另一组针对印度航空航天和国防研究机构的 TTP,其中包含两个以前未知的后门:LGuarian 和 HTTP_NEWS。前者似乎是 Quarian 后门的新变种,攻击者也使用了它。通过跟踪分析,研究人员获得了有关攻击者的后利用过程的大量信息,并能够提供他们在此阶段使用的各种工具的详细信息,以及在受害者设备上执行的操作。这使研究人员能够收集大量恶意软件样本,并发现攻击者基础设施。
6 月 3 日,Check Point 发布了一份关于针对东南亚政府被监控的报告,并将恶意活动归咎于一个名为 SharpPanda 的攻击者。
4 月,研究人员调查了许多模仿 Microsoft 更新安装程序文件的恶意安装程序文件,这些文件使用从一家名为 QuickTech.com 的公司窃取的数字证书进行签名。这些虚假安装程序展示了非常令人信服的视觉效果,这反映了攻击者为使它们看起来合法而付出了大量努力。其最终的有效载荷是 Cobalt Strike 信标模块,也配置了“microsoft.com”子域 C2 服务器。C2 域 code.microsoft[.]com 是一个闲置的 DNS 子域,攻击者在 4 月 15 日左右注册,伪装成 Visual Studio Code 官方网站。受害者通过虚假的 Microsoft 更新目录网页被诱骗在他们的设备上下载和执行这些安装程序,该网页也托管在“microsoft.com”的另一个闲置的子域上。在调查恶意安装程序文件时,研究人员遇到了其他恶意二进制文件,根据收集的线索,研究人员假设它们是由同一攻击者开发和使用的,至少从 1 月到 6 月一直活跃。研究人员在本文中对这个攻击者使用的扩展工具集进行了分析,并将其命名为 CraneLand。
7 月,研究人员在两个公开批评中国且看似合法的网站上发现了可疑的 JavaScript (JS) 内容。混淆后的 JS 从远程域名加载,该域名冒充 Google 品牌并启动恶意 JS 载荷链。受感染的网站仍然包含 JS,但研究人员无法将任何其他恶意活动或基础设施与这种水坑攻击联系起来。恶意 JS 似乎不符合传统的网络犯罪目标,与研究人员在其他水坑攻击中观察到的活动相比,其活动非常不寻常。研究人员认为恶意 JS 载荷旨在分析和针对来自香港、台湾或中国大陆的个人。应仔细检查与所述恶意域的任何连接,以查找后续的恶意活动。