中東地區的 APT活動
2020年底,一個自稱“黑影”(BlackShadow)的黑客組織竟向以色列一家保險公司勒索價值100萬美元的比特幣,否則就公布該公司被泄漏的數據。從那以后,該組織就一戰成名,之后該組織就攻擊了以色列的另一家公司,并在 Telegram 上發布了大量包含客戶相關信息的文件。在此之后,研究人員在追蹤分析中發現了該組織獨特的 .NET 后門的幾個樣本,這些樣本以前研究人員不知道,其中一個最近在沙特阿拉伯被發現。通過以研究人員在這些樣本中觀察到的新基礎設施指標為中心,研究人員能夠找到一個特定的 C2 服務器,該服務器與惡意 Android 植入程序聯系并顯示出與該組織活動的聯系。
研究人員之前報道了針對中東目標的 WildPressure 活動,跟蹤分析后,研究人員找到了他們的 C++ 木馬的更新版本 (1.6.1)、具有相同版本的相應 VBScript 變體和一組全新的模塊,包括一個 orchestrator (MySQL 復制拓撲管理和可視化工具)和三個插件。這證實了研究人員之前的假設,即基于C2通信協議中包含“客戶端”編程語言的一個字段,除了c++之外還有更多的“最后階段”。WildPressure使用的另一種語言是Python。Windows的PyInstaller模塊包含一個名為“Guard”的腳本。也許最有趣的發現是,這個惡意程序是針對Windows和macOS操作系統開發的。在本例中,硬編碼版本是2.2.1。在攻擊者使用的所有編程語言中,其編碼風格、整體設計和 C2 通信協議都非常可識別。WildPressure 使用的惡意程序在版本和使用的編程語言方面仍在積極開發中。盡管研究人員無法將 WildPressure 的活動與其他攻擊者聯系起來,但研究人員確實在 BlackShadow 使用的 TTP(戰術、技術和程序)中發現了某些相似之處,BlackShadow 在同一地區也很活躍。然而,研究人員認為這些相似之處的證據太少,說明不了什么問題。
研究人員發現了一個正在進行的活動,研究人員認為這是一個名為WIRTE的攻擊者,該活動從 2019 年底開始,針對多個地區,重點是中東。WIRTE 是一個鮮為人知的攻擊者,于 2019 年首次公開提及,研究人員懷疑它與 Gaza Cyber組織有關系,據了解,該組織是一個具有政治動機的阿拉伯語背景的網絡犯罪組織。在2月份,攻擊者使用VBS/VBA植入程序,進行MS Excel 釋放,攻擊者使用隱藏的電子表格和 VBA 宏來釋放他們的第一階段植入程序——VBS 腳本。VBS 腳本的主要功能是收集系統信息并執行攻擊者發送的任意代碼。盡管研究人員最近報道了一種用于偵察和分析活動的新的 Muddywater 第一階段 VBS 植入程序,但這些惡意攻擊程序具有略有不同的 TTP 和更廣泛的目標。迄今為止,研究人員記錄的受害者集中在中東和該地區以外的其他一些國家。盡管各行各業都受到影響,但重點主要是政府和外交機構;然而,研究人員也注意到針對律師事務所的不同尋常的攻擊。
GoldenJackal 是研究人員最近在追蹤分析中發現的活動集群的名稱,自 2019 年 11 月以來一直處于活動狀態。此惡意攻擊程序由一組基于 .NET 的植入程序組成,旨在控制受害設備并竊取某些來自他們的文件,這表明該攻擊者的主要動機是間諜活動。此外,在與中東外交機構相關的一組受限設備中發現了植入程序。對上述惡意程序以及隨附的檢測日志的分析描繪了一個有能力且適度隱蔽的攻擊者。這可以通過研究人員遇到的少數組織中的潛在攻擊者所獲得的成功立足點得到證實,同時始終保持低簽名和模糊的足跡。
東南亞及朝鮮半島的 APT活動
ScarCruft(也稱為Reaper和123組織)是亞洲地區最活躍的APT組織之一。據卡巴斯基實驗室稱,該組織還一直瞄準世界各地的外交團隊。ScarCruft的受害者包括中國、印度、韓國、科威特和尼泊爾的政府機構。研究人員觀察到 ScarCruft 在 1 月份入侵了一個與朝鮮相關的新聞媒體網站,攻擊一直持續到 3 月份。在這次攻擊中,攻擊者使用了與Powerfall行動相同的漏洞鏈CVE-2020-1380和CVE-2020-0986。根據漏洞利用代碼和攻擊方案特征,研究人員懷疑Operation PowerFall與ScarCruft組織有聯系。漏洞利用鏈包含 shellcode 執行的幾個階段,最終在內存中部署 Windows 可執行載荷。研究人員發現了來自韓國和新加坡的幾名受害者。除了這種水坑攻擊之外,該組織還使用了隱藏其有效載荷的 Windows 可執行惡意程序。這種被稱為“ATTACK-SYSTEM”的惡意程序還使用多階段 shellcode 攻擊來傳送名為“BlueLight”的相同最終有效載荷。BlueLight在C2中使用OneDrive,從歷史上看,ScarCruft惡意程序,尤其是RokRat,利用個人云服務器作為C2服務器,如pCloud、Box、Dropbox和Yandex。
2020 年 5 月,中國臺灣刑事調查局 (CIB) 發布了關于一份針對臺灣立法者的攻擊的公告。公告中稱一名身份不明的攻擊者使用虛假的總統府電子郵件帳戶發送魚叉式網絡釣魚電子郵件,研究人員將其所含的惡意程序稱之為“Palwan”。Palwan 是一種惡意程序,能夠執行基本的后門功能以及下載具有附加功能的更多模塊。在分析惡意程序時,研究人員發現了另一個針對尼泊爾的并行活動。研究人員還發現,在 2020 年 10 月和今年 1 月,使用 Palwan 惡意程序變體對尼泊爾發起了兩波攻擊。研究人員懷疑尼泊爾的目標行業與臺灣 CIB 報告的行業相似。在調查尼泊爾運動中使用的基礎設施時,研究人員發現與 Dropping Elephant 活動重疊。但是,研究人員認為這種重疊不足以將此活動歸因于 Dropping Elephant 幕后的開發者。這種被稱為“Dropping Elephant”(又被稱為“Chinastrats”)的網絡犯罪攻擊行動可以說是并不復雜。受攻擊目標主要為多個同中國和中國國際事務有關的外交和政府機構。盡管攻擊者只配備了較舊的漏洞利用程序和普通的攻擊工具,但他們還是針對多個高級目標進行了攻擊,包括一些西方國家機構。
Bluenoroff以攻擊全球的金融公司而出名,最近該組織又添加了調取加密貨幣的業務。自 2020 年研究人員對 BlueNoroff 的“SnatchCrypto”活動跟蹤分析以來,該組織傳播惡意程序的策略已經發生了變化。在此活動中,BlueNoroff 使用了一個利用遠程模板注入漏洞 CVE-2017-0199 的惡意 Word 文檔。注入的模板包含一個 Visual Basic 腳本,該腳本負責解碼來自初始 Word 文檔的下一個有效載荷并將其注入到合法進程中。注入的有效載荷會在受害者的設備上創建一個持久的后門。研究人員觀察到了幾種類型的后門。為了進一步監控受害者,攻擊者還可能部署其他工具。BlueNoroff 特別為此活動建立了虛假的區塊鏈或與加密貨幣相關的公司網站,以引誘潛在受害者并啟動攻擊過程。攻擊者使用了大量誘餌文件,其中包含業務和保密協議以及業務介紹。與之前的 SnatchCrypto 活動相比,BlueNoroff 組織使用了類似的后門和 PowerShell 代理,但更改了初始攻擊媒介。附加到魚叉式網絡釣魚電子郵件的 Windows 快捷方式文件曾經是攻擊的起點,不過它們現在已被武器化的 Word 文檔所取代。
研究人員發現了使用修訂后的攻擊方案和針對韓國各行業的自定義勒索軟件的 Andariel 活動。4 月,研究人員觀察到一個包含韓文文件名和誘餌的可疑文件上傳到 VirusTotal。這表明攻擊者使用了一個新的攻擊方案和一個陌生的有效載荷。Malwarebytes最近發布了一份報告,其中包含有關同一家族攻擊的技術細節,并將其歸咎于 Lazarus 組織。經過深入分析,研究人員得出了不同的結論—— Andariel組織是這些攻擊的幕后黑手。此活動中的第二階段有效載荷與來自 Andariel 組織的以前惡意程序之間的代碼重疊。除了代碼相似性和受害者相同外,研究人員還發現了與 Andariel 組織的其他聯系。每個攻擊者在后開發階段與后門 shell 交互工作時都有一個獨特的習慣。此活動中使用 Windows 命令及其選項的方式與之前的 Andariel 活動幾乎相同。自 2020 年年中以來,攻擊者一直在傳播第三階段的有效載荷,并利用惡意 Word 文檔和模仿 PDF 文檔的文件作為攻擊媒介。值得注意的是,除了最后一個后門,研究人員還發現一名受害者攻擊了自定義勒索軟件。這種勒索軟件為這次 Andariel 活動增加了另一個方面,該活動之前對 ATM 進行過攻擊。
研究人員最近在東南亞發現了一次由 LuminousMoth 的攻擊者發起的大規模、高度活躍的攻擊。進一步分析顯示,這種惡意活動可以追溯到 2020 年 10 月,并且在 6 月仍在進行中。LuminousMoth 利用 DLL 側加載來下載和執行 Cobalt Strike 載荷。然而,這種攻擊最有趣的部分可能是它通過攻擊 USB 驅動器傳播到其他主機的能力。除了惡意 DLL 之外,攻擊者還在一些受攻擊的系統上部署了流行應用程序 Zoom 的偽造簽名,這樣攻擊者就能夠竊取文件;以及通過從 Chrome 瀏覽器竊取 cookie 來訪問受害者 Gmail 會話的附加工具。基礎設施關系以及共享的 TTP 暗示 LuminousMoth 和 HoneyMyte 威脅組織之間可能存在聯系,該組織過去曾針對同一地區并使用類似的工具發起過攻擊。這種活動早期大多數發生在緬甸,但現在看來攻擊者在菲律賓更為活躍,已知的攻擊次數增加了十倍以上。這就提出了一個問題,即這種攻擊是不是專門針對菲律賓設計的。
研究人員最近報道了 SideCopy 活動與基于 Android 的植入一起攻擊 Windows 平臺。事實證明,這些植入程序是由多個應用程序組成的,充當信息竊取程序,從受害者的設備中收集敏感信息,例如聯系人列表、短信、通話錄音、媒體和其他類型的數據。隨后,研究人員發現了其他惡意 Android 應用程序,其中一些聲稱是已知的消息應用程序,例如 Signal 或成人聊天平臺。這些新發現的應用程序使用 Firebase 消息傳遞服務作為接收命令的通道。操作員可以控制Dropbox或其他硬編碼服務器是否被用于竊取文件。
其他有趣的 APT活動
研究人員擴展了針對CVE-2021-1732漏洞的研究,該漏洞最初由DBAPPSecurity Threat Intelligence Center發現,由Bitter APT小組使用,研究人員發現了另一個可能在亞太地區使用的零日漏洞。有趣的是,該漏洞是作為一個單獨框架的一部分被發現的,與CVE-2021-1732以及其他之前被修補過的漏洞一起被發現的。研究人員非常確信,這個框架與Bitter APT完全無關,被不同的攻擊者使用過。進一步分析表明,至少從2020年11月起,這種特權升級(EoP)漏洞就有可能在野外使用。發現后,研究人員在2月份向微軟報告了這個新的漏洞。微軟經過確認,將其命名為 CVE-2021-28310。
漏洞中留下的各種痕跡和文物意味著研究人員也非常確信CVE-2021-1732和CVE-2021-28310是由“Moses”漏洞開發人員創建的。“Moses”似乎是一名漏洞利用開發人員,他根據過去的其他漏洞利用情況,向多個攻擊者提供漏洞利用。迄今為止,研究人員已經確認至少有兩個已知的攻擊者利用了最初由 Moses 開發的漏洞:Bitter APT 和 Dark Hotel。基于類似的標記和工件,以及從第三方私下獲得的信息,研究人員認為過去兩年在野外至少觀察到的有六個漏洞源自“ Moses ”。雖然 EoP 漏洞是在野外發現的,但研究人員目前無法將其直接與目前正在跟蹤的任何已知攻擊者聯系起來。EoP 漏洞利用可能與其他瀏覽器漏洞利用鏈接在一起,以逃避沙箱并獲得系統級權限以進行進一步訪問。不幸的是,研究人員無法捕獲完整的漏洞利用鏈,因此研究人員不知道該漏洞利用是否與其他瀏覽器零日漏洞一起使用,或者與利用已知已修補漏洞的漏洞利用相結合。
在 ProxyLogon 和其他 Exchange 漏洞被曝光后,研究人員發現APT 攻擊者對 Exchange 服務器的攻擊激增,他們注意到了一個獨特的活動集群,這引起了研究人員的注意,因為至少從 2020 年 12 月起,它背后的攻擊者似乎一直在攻擊Exchange 服務器,而且使用的工具集都是新開發的。在3月份,幾波針對Exchange服務器的攻擊被曝光,所變現出來的活動與研究人員觀察到的相同。部分描述了研究人員觀察到的相同活動集群。據ESET報道,其中一項評估顯示,該活動背后的攻擊者在其公開發布之前就已經獲得了交易所的漏洞,這與研究人員去年對其早期活動的觀察相符。盡管如此,沒有一個公共賬戶描述了完整的感染鏈,以及作為該組織行動一部分的惡意程序部署的后期階段。
4 月 15 日,Codecov 公開披露其 Bash Uploader 腳本已被泄露。Bash Uploader 腳本由 Codecov 公開傳播,旨在收集有關用戶執行環境的信息,收集代碼覆蓋率報告,并將其發送到 Codecov 基礎設施。因此,這種腳本入侵有效地構成了供應鏈攻擊。Bash 上傳程序腳本通常在開發和測試環境中作為受信任的資源執行(包括作為自動化構建過程的一部分,例如持續集成或開發管道);它的入侵可能會導致惡意訪問基礎設施或帳戶機密,以及代碼存儲庫和源代碼。雖然研究人員還無法確認惡意腳本部署、檢索有關受攻擊目標的任何信息或識別進一步相關的惡意工具,但研究人員能夠收集受攻擊 Bash 上傳程序腳本的一個樣本,并識別一些可能關聯的額外惡意服務器。
在微軟4 月發布了更新后,一些可疑二進制文件文件引起了研究人員的注意,它們偽裝成“2021年4月安全更新安裝程序”。他們使用有效的數字簽名進行簽名,提供 Cobalt Strike 信標模塊。這些模塊很可能是用竊取的數字證書簽名的。這些 Cobalt Strike 信標植入程序配置有硬編碼的 C2,“code.microsoft.com”。目前研究人員可以確認微軟的基礎設施沒有受到攻擊。事實上,未經授權的一方接管了懸空的子域“code.microsoft.com”并將其配置為解析到他們的 Cobalt Strike 主機,大約在 4 月 15 日設置。該域托管了 Cobalt Strike 信標有效載荷,使用特定且唯一的用戶代理服務于 HTTP 客戶端。
4 月 14 日至 15 日,卡巴斯基檢測到一波針對多家公司的高度針對性攻擊,所有這些攻擊都利用了 Google Chrome 和 Microsoft Windows 零日漏洞鏈。雖然研究人員目前還無法在 Chrome 網絡瀏覽器中檢索用于遠程代碼執行 (RCE) 的漏洞,但研究人員能夠找到并分析用于逃離沙箱并獲取系統權限的權限提升 (EoP) 漏洞。EoP 漏洞利用經過微調,可以針對 Windows 10 的最新和最突出的版本(17763 – RS5, 18362 – 19H1, 18363 – 19H2, 19041 – 20H1, 19042 – 20H2),它利用 Microsoft Windows 操作系統內核。4 月 20 日,研究人員向 Microsoft 報告了這些漏洞,他們將 CVE-2021-31955 分配給信息披露漏洞,將 CVE-2021-31956 分配給 EoP 漏洞。這兩個漏洞都在 6 月 8 日進行了修復。漏洞利用鏈試圖通過釋放程序在系統中安裝了惡意程序。惡意程序以系統服務的形式啟動并加載有效載荷,這是一個“遠程shell”式的后門,它反過來連接到C2獲取命令。到目前為止,研究人員還沒有找到任何與已知攻擊者的聯系或重疊。因此,研究人員暫時將這個活動集群稱為PuzzleMaker。
總結
通過分析,攻擊者的 TTP 一直在與時俱進,除了嚴重依賴社會工程外,他們還更新了工具集并擴展了他們的活動范圍。
