2020年度APT攻擊回顧
2020年度安全人員跟蹤900多個高級威脅活動,可在季度報告中找到詳細信息。本文將集中討論過去12個月中APT攻擊的特點。
Windows之外
Windows仍然是APT的主要關注點,但今年也觀察到了許多非Windows的共計活動。例如,Lazarus的MATA惡意軟件框架。4月發現MATA擴展到Windows和Linux以外的系統,包括macOS。Lazarus利用宏嵌入的Office文檔并根據受害者的系統傳播PowerShell或macOS惡意軟件。
安全人員發布了Penquin家族分析報告,并在5月發表有關Penquin_x64的技術分析。Penquin_x64是Turla的Penquin GNU/Linux后門變體,分析指出Turla可能會利用Penquin進行除傳統情報以外的其他操作。
在2020年第三季度APT趨勢報告中描述了TunnelSnake攻擊活動。攻擊者利用了開源工具Earthworm和Termite,生成遠程shell并在主機之間建立隧道通信。這些工具能夠在IoT設備等多種體系結構上運行,表明攻擊者已經將此類設備作為新的目標。
UEFI固件感染
在針對某次攻擊的調查中發現了一個UEFI固件映像,固件模塊是基于Vector EDK的bootkit,植入的惡意軟件是下載器。通過分析提取惡意軟件特征,發現了一系列類似的樣本,這些樣本自2017年以來一直被用于外交組織,它們的業務邏輯大部分是相同的,但一些附加功能或在實現上有所不同。
手機惡意攻擊
今年發現許多針對移動平臺的APT組織。今年1月,發現了一個利用了完整遠程iOS攻擊鏈的水坑。該網站針對香港用戶設計。目前使用的都是已知漏洞,攻擊者正在改進漏洞利用工具,以針對更多的iOS版本和設備。它還支持Android、Windows、Linux和macOS等平臺。
今年8月,研究人員發表了關于透明部落的第二份分析報告。其中包括該組織用來攻擊滲透安卓設備的惡意軟件。惡意程序偽裝成印度政府開發的Aarogya Setu COVID-19跟蹤應用程序,主要針對印度的軍事人員,通過WhatsApp、短信、電子郵件或社交媒體發送惡意鏈接進行傳播。
今年6月,觀察到一組新的惡意安卓下載程序,這些下載器從2019年12月起就已經出現在網絡中,主要針對巴基斯坦。美國NTISB在1月份的一份報告中分析了惡意軟件共享相同的C2s,目標是巴基斯坦軍方機構,攻擊者利用WhatsApp信息、短信、電子郵件和社交媒體作為最初的傳播媒介。
官方點名
5月,英國國家網絡安全中心(NCSC)和美國國土安全部(DHS)發布聯合警告,兩國都在調查針對制藥公司,醫學研究組織和制藥公司的網絡攻擊事件。
7月30日,歐洲理事會對六名個人和三個實體實施制裁,這些個人和實體參與了多個網絡攻擊活動,制裁包括禁令旅行和資產凍結,禁止歐盟個人和實體向所列人員提供資金。
9月,美國司法部發布了三份黑客起訴書,這些黑客與APT41和其他網絡攻擊活動有關,包括Barium, Winnti, Wicked Panda,Wicked Spider。美國司法部與馬來西亞政府合作之后,兩名馬來西亞國民于9月14日被捕,罪名是“非法計算機入侵”。根據起訴書中的信息可將這些入侵行為與ShadowPad和ShadowHammer聯系起來。
10月,美國司法部起訴六名俄羅斯軍官進行了多次網絡攻擊,其中包括NotPetya,2018年奧林匹克驅逐艦襲擊事件以及Novichok中毒事件。英國NCSC還指控俄羅斯的GRU軍事情報部門對東京奧運會的官員進行攻擊。
“剛剛好”就夠了
APT攻擊并不總是需要復雜技術,DeathStalker說明了這一點。DeathStalker目標主要集中在律師事務所和金融行業,它收集敏感的商業信息,提供黑客服務,或在金融界充當信息經紀人。
本季度,發現了該組織基于LNK的入侵線索。該組織一直在開發其工具包,采用自2018年以來相同的策略,同時加大了逃避檢測的力度。
2020年6月底發現DeathStalker的有趣變化。例如,惡意軟件使用嵌入的IP地址或域名直接連接到C2服務器,它使用至少兩個DDR或web服務來獲取真實的C2 IP地址或域。攻擊者并不僅僅局限于發送魚叉式網絡釣魚郵件,而是通過多封電子郵件積極與受害者接觸,說服他們打開誘餌。此外,攻擊者在入侵中使用基于Python的惡意工具,這是第一次發現攻擊者放棄PE二進制文件作為中間階段來加載evillum。還發現了該組織自2020年第二季度以來使用的復雜度較低的惡意軟件,它依賴于HTTPS上的DNS(DoH)作為C2通道。2020年10月,發現并分析了該組織的PowerPepper工具集的新樣本,包括改進的沙盒檢測技術。
COVID-19
在COVID-19大流行之后,許多國家采取封鎖措施,攻擊者不斷地利用人們對這種疾病的恐懼發起網絡攻擊活動。大多數與COVID-19相關的網絡釣魚都是網絡犯罪分子為賺錢發起的。但是,據OSINT(開源情報)稱,攻擊者名單中包括拉扎魯斯(Lazarus)、響尾蛇(Sidewinder)、透明部落(Transparent Tribe)、第21組(GroupA21)等。研究人員還發現Kimsuky、APT27、IronHusky和ViciousPanda也在使用COVID-19為主題的誘餌來攻擊受害者。
在WellMess報告之后,英國國家網絡安全中心(NCSC)與加拿大和美國政府發布了一份關于WellMess最新活動報告。這三個國家政府把針對COVID-19疫苗研究的惡意軟件歸咎于Dukes(又稱APT29和Cozy Bear)。
原文鏈接:securelist
