一份新的報告稱，最近一系列的針對電子游戲公司的勒索軟件攻擊與臭名昭著的APT27威脅組織有密切的關系，這表明高級持續性威脅(APT)正在改變過去的間諜集中戰術，轉而采用勒索軟件進行攻擊。

研究人員注意到此次攻擊與APT27的 "密切聯系"，它們作為供應鏈攻擊的一部分，它們被引入了去年影響全球主要游戲公司的勒索軟件攻擊事件的名單中。這些事件的細節(包括具體的公司名稱和時間)很少。然而，雖然研究人員告訴Threatpost，他們無法說出具體的被攻擊的游戲公司的名字，但他們表示已經有五家公司受到了攻擊的影響。更重要的是，其中兩家受影響的公司是 "世界上最大的公司之一"。

研究人員表示，APT27(又稱Bronze Union、LuckyMouse和Emissary Panda)，據說是在中國境內運營的一個威脅組織，自2013年以來就一直存在。 該組織向來是利用開源的工具來接入互聯網，其攻擊目的是為了收集政治和軍事情報。而且，它此前一直在做網絡間諜和數據竊取方面的攻擊，而不是僅僅為了金錢利益而發動攻擊。

Profero和Security Joes的研究人員在周一的聯合分析中指出："此前，APT27并不是為了經濟利益而發動攻擊，因此此次采用勒索軟件的攻擊策略是很不同尋常的。然而此次事件發生時，正值COVID-19在中國國內流行，因此轉為為了經濟利益而發動攻擊也就不足為奇了。"

供應鏈攻擊

研究人員還表示，此次攻擊是通過第三方服務商來進行攻擊的，而且該服務商此前曾被另一家第三方服務商感染。

在對該安全事件進行更深一步的調查后，研究人員發現惡意軟件樣本與2020年初的一個名為DRBControl的攻擊活動有關。趨勢科技的研究人員此前發現了這個攻擊活動，指出它與APT27和Winnti供應鏈攻擊團伙有密切聯系。DRBControl后門攻擊的特點是，它通過滲透攻擊非法的賭博公司，并使用Dropbox對其進行指揮控制(C2)通信。

Profero和Security Joes的研究人員在最近的攻擊活動中發現了和DRBControl "非常相似的樣本"(他們稱之為 "Clambling "樣本，不過這個變種并沒有Dropbox的功能。)

研究人員發現，DRBControl以及PlugX樣本 ，都會使用Google Updater可執行文件來使自己加載到內存中，然而該可執行文件很容易受到DLL側載攻擊(側載是指使用惡意DLL欺騙合法DLL，然后依靠合法Windows可執行文件執行惡意代碼的過程)。研究人員表示，這兩個樣本都使用了經過簽名的Google Updater，兩個DLL都被標記為goopdate.dll。

研究人員說："這兩個樣本的每一個樣本都有一個合法的可執行文件，一個惡意DLL和一個由shellcode組成的二進制文件，它們負責從自身提取有效載荷并在內存中進行運行"。

網絡攻擊者會通過對第三方公司進行滲透并獲得了該公司系統的一個傀儡機后，為了協助橫向移動攻擊，會再部署一個ASPXSpy webshell。

研究人員表示，此次事件中另一個特點是攻擊的過程中使用了BitLocker對核心服務器進行加密，BitLocker是Windows中內置的一個驅動器加密工具。

他們說："這個是很有趣的，因為在許多情況下，攻擊者會將勒索軟件投放到受害者的機器上，而不是直接使用本地工具進行攻擊"。

APT27的線索

研究人員觀察到此次攻擊與APT27在戰術、技術和程序(TTPs)方面都存在著"極強的聯系"。

研究人員舉例說，他們發現DRBControl樣本和之前已確認的APT27攻擊程序之間有很多相似之處。此外，活動中使用的ASPXSpy webshell的修改版本此前也曾出現在APT27的網絡攻擊中。而在發現后門文件的同時，研究人員還發現了一個利用CVE-2017-0213升級權限進行攻擊的二進制文件，CVE-2017-0213是APT27之前使用過的微軟Windows服務器的一個漏洞。

研究人員表示："APT27過去曾利用這個漏洞來進行升級權限。”

Profero首席執行官Omri Segev Moyal告訴Threatpost，除了與之前APT27使用的工具庫相匹配之外，研究人員還注意到了與之前APT27發動攻擊的代碼的相似性很高;而且，這次攻擊所使用的域和之前其他的APT27相關的攻擊有很高的匹配度。

研究人員還指出，此次攻擊的各種流程與之前的APT27攻擊有相似之處，包括用來執行不同函數的方法所使用的參數數量，以及使用DLL側載攻擊方法，主要的有效載荷存儲在一個單獨的文件中等等特征。

本文翻譯自：https://threatpost.com/ransomware-major-gaming-companies-apt27/162735/如若轉載，請注明原文地址。