1月24日,复杂的SolarisSPARC恶意程序的哈希值在Twitter上发布。这个复杂的模块化网络间谍平台在复杂性上堪比EquationDrug、Remsec和Regin。我们使用相同的字符串加密算法、内部模块和功能确定了此示例的Windows变体。植入程序是一个内部称为SBZ的复杂框架。它支持多种渗透方法和复杂的网络基础设施,包括寻址、重定向和路由。SBZ可能指的是EquationGroup使用的网络间谍平台STRAITBIZZARE。值得注意的是,ShadowBrokers的转储“LostinTranslation”中DanderSpritz样本的接口ID与我们能够关联的框架中的接口ID之间的存在重叠。
在2021年末,我们发现了一个恶意DXE驱动程序,该驱动程序被合并到几个UEFI固件映像中,这些映像被我们的固件扫描程序标记。恶意驱动程序对应于兼容性支持模块(CSM),用于促进来自主引导记录(MBR)的传统引导序列。该模块被修改为在良性执行逻辑旁边产生感染链,最终部署恶意内核模式shellcode,旨在从外部服务器分阶段执行额外的有效负载,虽然我们无法完全检索,但对我们命名为CosmicStrand的恶意UEFI组件的调查表明,它的一个变体实际上之前被另一家安全供应商描述过。我们最初发现的样本似乎使用了不同的基础设施,并且只包含了轻微的修改,构成了恶意程序的更新变体。跟踪分析表明,这两种变体都在一组有限的PC中被发现,并且可能在有限的时间范围内收到了来自各自C2服务器的响应,从目前来看,响应来自中国、越南、俄罗斯和伊朗受害者的计算机。
3月,Proofpoint发布了一篇关于与乌克兰战争有关的新鱼叉式网络钓鱼活动的文章,当时暂时把这些攻击归因于UNC1151(又名TA445和Ghostwriter)。根据查结果,这次袭击与乌克兰目前的局势有关。攻击者向负责管理欧洲交通和人口流动的欧洲政府工作人员发送鱼叉式网络钓鱼电子邮件,目的是让他们感染Sunseed木马。经过深入的调查,研究人员又发现了其他相关活动,这些活动至少自2020年5月以来就针对位于中亚、欧洲和美洲的大量实体。同时,研究人员又发现了与先前观察到的网络犯罪活动相关的链接,该活动使用了新的、以前未知的样本。
3月22日,研究人员发现了一些针对中文地区的APT攻击,这些攻击是由StormCloud发起的。经追踪分析,这是一个名为GIMMICK的多平台恶意程序家族,它影响Windows和macOS计算机,其变体以多种编程语言(.NET、Delphi、ObjectiveC)开发,所有变体都使用基于GoogleDrive的相同C2协议。
从3月开始,研究人员检测到来自ExCone和DexCone背后的攻击者的新活动,观察到与针对俄罗斯目标的新一波鱼叉式网络钓鱼攻击相关的恶意程序,这些攻击利用有关乌克兰危机的信息引诱受害者打开恶意文档。这封电子邮件只是多阶段感染过程的第一步,该过程会导致安装Pangolin木马的一个新的微小变种。Pangolin是我们在2021年发现的私有恶意程序,由ExCone和DexCone背后的攻击者ZexCone独家使用。我们还发现了Pangolin木马的完整版本,包括新命令。
最近,SEKOIA.IO的研究人员发布了一份报告,里面提到了他们认为被称为BananaSulfate的恶意基础设施的一部分的一组域。这种基础设施特别令人感兴趣,因为它似乎正在迅速扩展和变化,迄今为止已注册了数十个域,并且仅在短时间内处于活动状态。此外,正如SEKOIA.IO所指出的,这些域名表明它们可能是针对多个平台的攻击的一部分,因为这些域名在Windows、iOS和Android操作系统中伪装成合法服务。最后,该基础设施与我们在之前的报告中观察到的基础设施之间的某些相似之处表明,这可能是我们称为Karkadann/Piwiks的攻击者的新活动。
1月,Kimsuky袭击了韩国的一家媒体公司和一家智囊团。根据分析,攻击者通过发送包含宏嵌入Word文档的鱼叉式网络钓鱼电子邮件来发起攻击。发现了各种不同Word文档的示例,每个示例都显示了与朝鲜半岛地缘政治问题相关的不同诱饵内容。攻击者还利用HTML应用程序文件格式使用Hangeul诱饵文档感染受害者。在最初的感染之后,一个VisualBasic脚本被传递给受害者。作为此过程的一部分,攻击者滥用合法的博客服务来托管具有编码格式的恶意脚本。植入的VBS文件能够报告有关受感染计算机的信息并下载具有编码格式的其他有效负载。最后阶段是受感染的Windows可执行文件。最后,植入的恶意程序能够从受害者那里窃取信息,例如文件列表、用户击键和存储在Web浏览器中的登录凭据。攻击者显然窃取了敏感信息,研究人员从攻击者的基础设施中发现了包含更多潜在受害者的大量IP地址的日志文件。揭示了与旧的Kimsuky恶意程序的多处相似之处:该组织长期以来一直使用其原始恶意程序代码和脚本。但是,感染计划一直在不断发展。
在这种情况下,攻击者使用了合法的博客服务来减少怀疑;并添加了感染阶段以验证受害者。研究人员在研究中观察到的一件有趣的事情是,攻击者使用受害者网络中的受感染计算机作为其恶意程序测试环境。
Lazarus目前是最活跃的组织之一,国防工业和金融机构是其主要目标。属于Lazarus的DeathNote是该组织最常使用的复杂恶意程序,最近一次是在Lazarus组织攻击程序供应商和智囊团时观察到的。从那时起,研究人员在韩国发现了几个在2月份感染了类似恶意程序的实体。但是,由于攻击者在其交付过程中添加了wAgent恶意程序,因此在这些情况下,感染方案略有更新。
自2021年底以来,卡巴斯基实验室的研究人员一直在检测来自SideCopy攻击者的新攻击活动。这些攻击针对的是印度和阿富汗的受害者,虽然其中一些攻击的攻击链更为复杂,但它们都涉及复杂的技术,例如具有加密/混淆恶意负载的不同阶段的HTA脚本、内存驻留恶意程序,并且在大多数情况下,DLL侧载来执行NightFury后门。研究人员已经确定了这些攻击中的一些场景,它们要么从包含恶意LNK文件的ZIP存档或带有恶意VBA宏的Word文档开始。这些攻击的最终有效载荷包括CrimsonRAT、ReverseRAT和NightFury后门。攻击者使用受感染的网站来托管初始HTA脚本和他们自己的服务器作为C2用于不同的后门和RAT样本,以及用于下载器模块的下载服务器。
从2022年3月开始,针对韩国的股票和加密货币投资者的攻击日趋频繁。基于域命名方案,研究人员将此活动称为NaiveCopy。该攻击者使用与加密货币相关的内容或执法部门的投诉作为诱饵主题。感染链涉及远程模板注入,从而产生一个恶意宏,该宏利用Dropbox启动多阶段感染程序。最后,在对受害者的主机信息进行信标后,恶意程序会尝试获取最后阶段的有效载荷。
幸运的是,我们有机会获得最后阶段的有效载荷,它由几个模块组成,用于从受害者身上窃取敏感信息。作为分析最终有效载荷的结果,研究人员发现了一年前使用的其他样本。当时,攻击者使用Excel文档和Windows可执行文件作为初始感染媒介。2021年使用的最终有效载荷具有不同的结构,但与之前的版本有很多重叠。根据这一发现,研究人员确认该活动至少持续了一年。目前,KrCERT和ISP供应商密切合作,已经关闭攻击者的基础设施,防止更多感染。目前,研究人员还无法找到与已知攻击者的任何确切联系,尽管我们确实认为他们熟悉韩语并利用类似的策略窃取了一个知名的韩国门户网站的登录凭据。
从2022年1月开始,TransparentTribe(又名PROJECTM和MYTHICLEOPARD)开始对印度政府工作人员进行新一轮的攻击以进行间谍活动。攻击者发起了不同的攻击,其中目标被引诱访问旨在显示为Kavach官方存储库的虚假网站,这是印度一些政府必须使用的双因素身份验证应用程序。人们通常被诱骗下载和执行虚假安装程序,以验证受害者并下载我们称为AREA51的新木马。该木马用于执行另一次验证并识别相关受害者感染其他恶意程序。
根据调查,攻击者使用AREA51部署了新版本的MumbaiRAT、新的CrimsonRAT变体和PeppyRAT。研究人员还发现了一个虚假网站,传播用于Linux的虚假Kavach安装程序。该植入程序是一个简单的下载程序,可以下载并执行Poseidon,这是一种适用于Linux和macOS的后期利用工具,可与Mythic后期利用框架一起使用。
2月份对基于KA-SAT的互联网服务的恶意中断可能是为了专门阻碍乌克兰军队和安全部门的通信。我们能够识别出几个配置和敏感信息泄露漏洞,这些漏洞可能使攻击者能够访问私有的Viasat管理网段,以及远程执行代码或更改CPE系统上的配置。我们分析了公开可用的擦除器恶意程序CosmosWiper,它于3月15日提交给在线多扫描器服务;我们相信,它已被用来破坏一些KA-SAT客户CPE系统。研究人员认为,用于擦除Viasat卫星宽带调制解调器的恶意程序可能与VPNFilter10有关。
2月,我们发现了针对吉尔吉斯斯坦政府实体的新SilentMarten活动。这是我们第一次观察到将shellcode放入Windows事件日志的技术,从而使“无文件”最后阶段的木马从文件系统中隐藏起来。释放器将shellcode保存到具有特定类别ID和递增消息ID的密钥管理系统(KMS)事件源的信息事件中。另一种技术是使用模仿合法域名的C2域名。“eleed”这个名称属于区域ERP/ECM产品,它确实在目标系统上使用。攻击者在开发下一个恶意阶段时会考虑他们被发现的可能性。他们提供了很多反检测解密器,使用不同的编译器:微软的cl.exe、MinGW下的GCC和最新版本的Go。他们还决定不再只使用一种最后阶段的木马:还有HTTP和基于管道的命名木马
。除了上述自定义模块之外,还使用了几个商业渗透测试工具,例如CobaltStrike和NetSPI(前SilentBreak)。2021年9月,我们观察了SilentBreak的工具集,但在其他地区——中东和北非,对事件日志的关注不仅限于存储shellcode。滴管还修补了WindowsNativeAPI函数以使感染过程更加隐蔽。此外,一些模块使用FastInvest数字证书进行签名;我们认为这是由攻击者发布的,因为我们的遥测没有显示除此活动中使用的恶意代码之外的任何合法程序签名。
研究人员最近发现了SessionManager,这是一个检测不佳的恶意IIS模块,从2021年3月下旬开始,它已被用于针对非洲、南美、亚洲、欧洲、俄罗斯和中东的非政府组织和政府组织。我们相信,由于之前在Exchange服务器上利用了ProxyLogon类型的漏洞,该模块已被部署。我们相信,基于受害者特征和OwlProxy的使用重叠,SessionManager可能会被GELSEMIUM攻击者使用。
我们于2020年8月首次报道了DeathStalker的VileRAT活动。在继续跟踪相关活动的同时,我们注意到攻击者仍会定期更新其恶意程序和之前的感染链。DeathStalker的主要策略保持一致,但攻击者不断努力逃避检测。我们最近确定了最终提供更新的VileRAT样本的新感染文件。
近年来,黑客入侵和泄露事件的数量稳步增加,这已成为APT和攻击者最常用的工具。在APT的情况下,这些泄漏主要用于攻击受害者的声誉。例如,早在2016年,民主党全国委员会主席黛比·瓦瑟曼·舒尔茨就因维基解密的大量电子邮件泄露而辞职。对于攻击者来说,泄密通常与勒索程序攻击结合使用,其中公司的数据被加密并被勒索。自乌克兰战争开始以来,各种网络犯罪组织(例如Conti)都表达了对冲突各方的支持,混淆了国家支持和一般的网络犯罪。同样,我们看到与冲突相关的黑客活动数量激增,从DDoS攻击到doxxing和hack-and-leak操作。我们最近遇到了几个在俄乌战争背景下有趣的此类行动。
以下是2022年第二季度APT的主要趋势:
1.地缘政治仍然是APT发展的动力之一。不出所料,我们会继续看到围绕乌克兰战争的袭击。2.“黑客行动主义”攻击激增,从DDoS攻击到doxxing和hack-and-leak操作。攻击者也在寻求利用冲突。此外,我们还看到攻击者利用战争作为主题来引诱潜在受害者运行恶意代码。
3.正如我们关于针对韩国股票和加密货币投资者的NaiveCopy活动的报告所强调的那样,经济利益仍然是APT攻击背后的持续动机之一。
参考及来源:https://securelist.com/apt-trends-report-q2-2022/106995/