接上文：《2020年第三季度APT攻擊趨勢分析(上)》

中東地區的攻擊活動

今年6月，卡巴斯基觀察到MuddyWater APT小組的新活動，包括使用一組新的工具，這些工具構成了加載惡意程序模塊的多級框架。該框架的某些組件利用代碼與C2進行通信，這與卡巴斯基在今年早些時候的MoriAgent惡意程序中觀察到的代碼相同。

因此，卡巴斯基決定將新的框架命名為MementoMori。新框架的目的是為了進一步促進內存中PowerShell或DLL模塊的執行。目前卡巴斯基已經發現了來自土耳其、埃及和阿塞拜疆的受害者。

[[353052]]

東南亞和朝鮮半島地區的攻擊活動

今年5月，卡巴斯基發現了屬于Dtrack家族的一個新樣本，第一個示例名為Valefor，是Dtrack RAT的更新版本，其中包含了一個新功能，使攻擊者能夠執行更多類型的有效載荷。第二個示例是一個名為Camio的鍵盤記錄程序，它是其鍵盤記錄程序的更新版本。這個新版本更新了日志信息及其存儲機制，卡巴斯基觀察到的跡象表明這些惡意程序程序是為特定受害者量身定制的，目前發現的受害者在日本。

自去年12月以來，卡巴斯基一直在追蹤LODEINFO，一種用于定向攻擊的無文件惡意程序。在此期間，卡巴斯基觀察了幾個版本的開發者開發的惡意程序。5月，卡巴斯基檢測到針對日本外交組織的v0.3.6版本。之后不久，卡巴斯基也檢測到v0.3.8?？ò退够恼{查揭示了攻擊者在橫向移動階段的操作方式：在獲得所需數據之后，攻擊者將刪除其攻擊痕跡?？ò退够膱蟾姘藢阂獬绦騆ODEINFO的技術分析，以及受害者網絡中的攻擊序列，以揭示攻擊者的策略和方法。

在跟蹤“ Transparent Tribe”的活動時，卡巴斯基發現了這個APT攻擊者使用的一個有趣的工具：用于管理CrimsonRAT木馬的服務器組件?？ò退够业搅诉@個程序的不同版本，這讓卡巴斯基能夠從攻擊者的角度來看這個惡意程序。它顯示了該工具的主要目的是竊取文件，給出了它用于探索遠程文件系統和使用特定過濾器收集文件的功能。

Transparent Tribe(又名PROJECTM和MYTHIC LEOPARD)是一個非常多產的APT團體，最近幾個月又增加了其活動的范圍。最近卡巴斯基又發現了一個與“CrimsonRAT木馬相關的活動https://securelist.com/transparent-tribe-part-1/98127/，卡巴斯基迅速分析了服務器組件，并首次看到了USBWorm組件的使用。另外卡巴斯基還發現了一種用于針對印度軍事人員的木馬程序。這一發現也證實了在以前的調查中已經發現的許多信息，同時也證實了CrimsonRAT https://securelist.com/transparent-tribe-part-2/98233/仍在積極開發中。

今年4月，卡巴斯基根據構建路徑和內部文件名發現了一種名為CRAT的新型惡意程序，該惡意程序使用武器化的韓文文檔以及特洛伊木馬程序和戰略性網絡攻擊進行傳播。自發現以來，后門功能經過多次迭代，功能齊全已經非常齊全，并分為多個攻擊模塊課。有一個下載程序將CRAT傳播給受害人，然后是名為Orchestration Crat的下一階段的Orchestrator惡意程序：該Orchestrator加載了用于間諜活動的各種插件，包括鍵盤記錄、屏幕捕獲和剪貼板竊取。

在卡巴斯基的調查中，卡巴斯基發現了與ScarCruft和Lazarus的一些弱連接：卡巴斯基發現該惡意程序中的幾條調試消息與ScarCruft惡意程序具有相似的模式，以及某些代碼模式和Lazarus C2基礎結構的命名。

今年6月，卡巴斯基觀察到一組新的惡意Android下載程序，根據卡巴斯基的跟蹤分析，這些下載程序至少從2019年12月起就在野外被積極使用，并且攻擊目標完全針對巴基斯坦。它的開發者使用Kotlin編程語言和Firebase消息傳遞系統進行下載，模仿了Chat Lite、Kashmir News Service和其他合法的地區性Android應用程序。

國家電信和信息技術安全委員會(NTISB)于1月發布的一份報告描述了共享相同C2并欺騙相同合法應用程序的惡意程序。該報告提到，攻擊者的目標是巴基斯坦軍事機構，攻擊者使用WhatsApp消息、短信、電子郵件和社交媒體作為初始感染媒介?？ò退够难芯恳诧@示，該惡意程序還通過Telegram Messenger傳播。通過對初始下載程序集的分析，卡巴斯基可以找到卡巴斯基認為密切相關的另一組特洛伊木馬，因為它們使用下載程序中提到的程序包名稱并專注于相同的目標，這些新樣本與以前歸因于Origami Elephant組織開發的惡意軟件的代碼具有很高的相似性。

在7月中旬，卡巴斯基觀察到一個東南亞政府組織被一個未知的攻擊者盯上了，該攻擊者使用了一個包含多層惡意RAR可執行程序包的惡意ZIP包。在其中一起事件中，壓縮包的主題是關于新冠疫情的。卡巴斯基相信，同一個組織可能也是政府網絡服務器漏洞的相同目標，在7月初被攻破，并為高度相似的惡意LNK提供服務。就像卡巴斯基過去看到的針對特定國家的其他行動一樣，這些攻擊者正在采取長期的、多管齊下的方法來破壞目標系統，而不使用零日攻擊。

值得注意的是，另一個小組(可能是OceanLotus)除了使用Cobalt Strike之外，還在一個月左右的時間內以COVID-19主題的惡意LNK對類似的政府目標使用了類似的Telegram傳播技術，并將其惡意程序植入了相同的政府目標。

今年5月，卡巴斯基就阻止了一次針對一家韓國公司的惡意Internet Explorer腳本攻擊。分析顯示，該攻擊使用了以前不知道的全鏈攻擊，包括兩個零日攻擊：針對Internet Explorer的遠程代碼執行攻擊和針對Windows的權限提升攻擊。與卡巴斯基在WizardOpium活動

https://securelist.com/windows-0-day-exploit-cve-2019-1458-used-in-operation-wizardopium/95432/中使用的先前完整鏈不同，新的完整鏈針對的是Windows 10的最新版本，而卡巴斯基的測試表明可以可靠地利用Internet Explorer 11和Windows 10的版本18363 x64。6月8日，卡巴斯基向微軟報告了卡巴斯基的發現，后者證實了這些漏洞。

在卡巴斯基提交報告的時候，微軟的安全團隊已經為CVE-2020-0986漏洞準備好了補丁，該漏洞被用于零日升級權限利用;但是在卡巴斯基發現之前，人們認為該漏洞的利用可能性較小， CVE-2020-0986的補丁于6月9日發布。微軟將JScript中的use-after-free漏洞分配為CVE-2020-1380，并于8月11日發布了針對該漏洞的補丁?？ò退够鶎⑦@些相關攻擊行動稱為PowerFall。目前，卡巴斯基還不能確定是哪個組織發起了這些攻擊，但由于與之前發現的漏洞相似，卡巴斯基相信DarkHotel可能是這次攻擊的幕后黑手。

7月22日，卡巴斯基在VirusTotal網站上發現了一個來自意大利的可疑檔案，該文件似乎是一個包含惡意腳本、訪問日志、惡意文檔文件和幾個與安全解決方案檢測到的可疑文件相關的屏幕截圖的分類。在調查了這些惡意文檔文件后，卡巴斯基發現它們與6月份報道的拉撒路集團(Lazarus group)活動有關。

這場被稱為“DeathNote”的攻擊活動，目標是汽車工業和學術領域的個人，使用包含航空航天和國防相關職位描述的引誘文件?？ò退够_信，這些文件與最近報道的針對以色列國防制造商的攻擊有關。截至目前，卡巴斯基已經發現了webshell腳本、C2服務器腳本和惡意文檔，并確定了與受感染的C2服務器連接的幾名受害者，并發現了用于訪問C2服務器的方法。

今年3月，卡巴斯基就已經觀察到APT組織SideWinder的攻擊活動，且攻擊者使用了五種不同的惡意程序類型。目前研發者已經連續對其最終有效載荷進行了修改，并繼續利用新冠疫情等當前熱門話題發起魚叉式網絡釣魚活動，其主要目標是針對政府、外交和軍事機構。而感染機制仍然與以前一樣,包括SideWinder利用選擇CVE-2017-1182和使用DotNetToJScript工具部署最后的有效載荷，但卡巴斯基發現該組織還使用了包含Microsoft編譯的HTML幫助的ZIP文件，該文件可以下載最后階段的有效載荷。除了現有的基于.NET的植入程序(卡巴斯基稱為SystemApp)之外，網絡攻擊者還向其武器庫中添加了JS Orchestrator，Rover / Scout后門以及AsyncRAT，warzoneRAT的修改版。

其他有趣的發現

很多情況下研究人員是無法調查到所發現APT組織幕后團隊的，比如在調查一項正在進行的活動時，卡巴斯基發現了一種正在開發的新型Android植入程序，與任何已知的Android惡意程序沒有明顯的聯系。該惡意程序能夠監控和竊取通話記錄、短信、音頻、視頻和非媒體文件，以及識別感染設備的信息。它還實現了一個有趣的功能，即收集使用“traceroute”命令和使用本地ARP緩存獲得的網絡路由和拓撲信息。

在此調查過程中，卡巴斯基發現了一堆類似的Android信息竊取器植入程序，其中一個示例被混淆處理了。另外卡巴斯基還發現了更像后門的更老的Android惡意程序，其蹤跡可以追溯到2019年8月。

早在今年4月，Cisco Talos就發現了一名身份不明的黑客使用名為“PoetRAT”的新型惡意程序，該攻擊專門針對阿塞拜疆政府和能源部門。在與卡巴斯基ICS CERT的合作中，卡巴斯基確定了相關惡意程序和文件的補充樣本，這些惡意程序和文件的目標是阿塞拜疆的多所大學、政府、工業組織以及能源部門機構。該攻擊于2019年11月初開始，不過在思科Talos報告發布后，攻擊者立即關閉了該攻擊的基礎設施。從那以后，就再也沒有發現新的相關文件或PoetRAT樣本。

卡巴斯基觀察到該惡意程序與Turla的代碼有一些重疊，但由于沒有技術上可靠的證據證明他們之間的關系，而且卡巴斯基也不能把這種新的活動歸因于任何其他已知的攻擊者，所卡巴斯基把它命名為Obsidian Gargoyle。Turla被認為是歷史上最復雜的APT(高級持續性威脅)間諜軟件。目標為政府機構、大使館、軍事組織、研究和教育組織以及制藥企業。Turla組織的攻擊活動包括了許多影響一時的大事件，比如2008年攻擊美國中央司令部，也就是Buckshot Yankee事件——指的是黑客用一個名叫agent.btz的惡意軟件通過某U盤被上傳至五角大樓的軍事網絡系統之中。另外一個事件就是2016年對瑞士軍工企業RUAG集團發動攻擊，黑客采用了網絡間諜軟件Turla，木馬程序以及Rootkit惡意軟件相結合。

此外Turla組織還針對烏克蘭，歐盟相關機構，歐盟各國政府，各個國家的大使館，媒體、研究和教育組織以及制藥、軍工企業，其利用衛星通信固有的安全缺陷隱藏C&C服務器位置和控制中心。Turla組織也被稱為Snake 、 Uroburos 、 Venomous Bear或是KRYPTON，是至今為止最為高級的威脅組織之一。

總結

不管APT組織使用的釣魚技術如何變化，攻擊者在一段時間內使用的釣魚話題都是一樣的，比如疫情期間他們使用新冠疫情這樣的熱門話題吸引用戶下載并執行惡意魚叉式網絡釣魚郵件的附件。而在技術開發上APT組織則不斷進行技術迭代，開發新工具集和擴大他們的活動的范圍，比如開發新平臺吸收更多參與者進來。雖然一些APT組織開發了非常復雜的工具，例如MosiacRegressor UEFI植入程序，但其他網絡攻擊者在使用基本TTP方面也取得了巨大成功。根據卡巴斯基的說法，UEFI是固件接口，是BIOS的替代品，可提高安全性，確保沒有惡意軟件篡改引導過程。因為UEFI有助于加載操作系統本身，所以這種感染可以抵抗OS重新安裝或更換硬盤驅動器。根據卡巴斯基的說法，這些惡意UEFI固件映像被修改為包含幾個惡意模塊，然后這些模塊被用來在受害者計算機上投放惡意軟件，這些模塊針對來自非洲、亞洲和歐洲的外交官和非政府組織成員發動了一系列有針對性的網絡攻擊。

以下是卡巴斯基在2020年第三季度看到的主要APT攻擊趨勢：

• 地緣政治繼續推動著許多APT運動的發展，正如卡巴斯基在最近幾個月看到的Transparent Tribe, Sidewinder, Origami Elephant 和 MosaicRegressor,的活動。
• 金融部門一直是攻擊的重點目標，DeathStalker的活動就是一個最近的例子。
• 卡巴斯基將繼續通過最近的示例(包括Transparent Tribe 和 Origami Elephant.)觀察在APT攻擊中使用移動植入程序的情況。
• 盡管APT網絡攻擊行動者在全球范圍內活躍，但最近的活動熱點是東南亞、中東和華語地區。
• 本季度包括WellMess和Sidewinder在內的APT組織都是以新冠話題為幌子發起攻擊的。
• 本季度最有趣的APT組織是DeathStalker和MosaicRegressor：前者強調了APT小組無需開發高度復雜的工具即可實現目標的事實，后者代表了惡意程序開發的前沿技術。