2021第一季度APT攻擊趨勢分析(下)
東南亞和朝鮮半島地區的APT攻擊趨勢分析
研究人員發現,Kimsuky組織在其最新的針對韓國股票交易應用程序的活動中采用了一種新方法來傳播其惡意程序。研究人員發現在此活動中,從2020年12月開始,該組織攻擊了一個屬于股票交易程序供應商的網站,攻擊者用一個惡意程序替換了托管安裝包。 Kimsuky還利用包含與COVID-19相關的誘餌惡意韓文(HWP)文檔討論了政府救濟基金,從而傳播了其惡意程序。這兩種感染載體最終都會釋放Quasar RAT,Quasar是一種公開可用的開源遠程訪問木馬,主要針對Windows操作系統,Quasar通過惡意附件在網絡釣魚電子郵件中傳播。與Kimsuky上次報告的由各種腳本組成的感染鏈相比,該新方案增加了復雜性,并引入了非常不受歡迎的文件類型,涉及帶有嵌入式C#代碼的VBS腳本,XML和可擴展樣式表語言(XSL)文件,以獲取并執行暫存器和有效載荷。根據誘餌文件和受攻擊安裝程序包的功能,研究人員得出結論,此攻擊是出于經濟動機,正如研究人員先前所報道的那樣,這是Kimsuky的攻擊者主要關注的領域。
1月25日,Google攻擊分析組織(TAG)宣布,與朝鮮相關的攻擊組織以安全研究人員為目標發起攻擊。根據Google TAG的博客,研究人員分析該攻擊組織使用了高度復雜的社交工程手段,通過社交媒體與安全研究人員聯系,并提供了遭到攻擊的Visual Studio項目文件,或將他們引誘到他們的博客中誘導受害目標安裝Chrome漏洞利用程序。 3月31日,Google TAG發布了此活動的更新,攻擊組織又更新了另一波虛假的社交媒體資料,以及攻擊組織在3月中旬成立的公司。研究人員可以確認博客上的幾個基礎架構與研究人員先前發布的有關Lazarus組織的ThreatNeedle組織的報告內容相重疊。此外,谷歌提到的惡意程序與ThreatNeedle(研究人員自2018年以來一直在跟蹤的惡意程序)相匹配。在調查相關信息時,一位外部研究員也確認他也受到了這種攻擊的影響,并共享信息供研究人員調查。從受感染主機解密配置數據后,研究人員發現了其他C2服務器。在調查過程中,服務器仍在使用中,并且研究人員能夠獲取其他數據,分析服務器上存在的日志和文件。研究人員發現,已發布的基礎結構不僅用于針對安全研究人員,而且還用于其他Lazarus攻擊。在研究人員進行研究時,他們發現有大量的主機與C2通信。你可以點擊此處閱讀研究人員的公開報告。
在研究人員先前使用ThreatNeedle對Lazarus攻擊國防工業的攻擊進行調查之后,研究人員發現了另一個名為CookieTime的惡意程序組織,該組織在一個主要針對國防工業的活動中使用。研究人員檢測到2020年9月和11月的活動,樣本可追溯到2020年4月。與Lazarus組織的已知惡意程序組織相比,CookieTime顯示出了不同的結構和功能。該惡意程序使用HTTP協議與C2服務器通信。為了將請求類型傳播到C2服務器,它使用編碼的cookie值并從C2服務器獲取命令文件。 C2通信利用了隱寫技術,該技術以受感染的客戶端與C2服務器之間交換的文件形式來發起攻擊。偽裝成GIF圖像文件內容,但包含來自C2服務器的加密命令和命令執行結果。通過與本地CERT緊密合作,研究人員可以刪除攻擊時使用的基礎架構,這樣就有機會研究命令和控制腳本。惡意程序控制服務器以多階段方式配置,并且僅將命令文件傳播給有攻擊目標的主機。
在調查越南政府認證局(VGCA)網站上的供應鏈攻擊的工具時,研究人員發現第一個木馬程序包可追溯到2020年6月,它是使用PhantomNet惡意程序部署的插件進行傳播的。研究人員對這些插件的分析表明,它與先前分析的CoughingDown惡意程序相似。研究人員通過分析攻擊中使用的每個攻擊工具以及該攻擊組織庫中的其他工具,已經明白了其攻擊原理。最后,研究人員還根據最新發現探索了CoughingDown發生的原因。
2月10日,DBAPPSecurity發布了他們去年12月發現的零日攻擊的詳細信息。除了漏洞利用程序本身的攻擊細節外,研究人員還提到BitterAPT在野外使用了該漏洞利用程序。盡管在初始報告中沒有提供任何相關后續信息來解釋發生的原因,但研究人員對此活動的調查證實,該漏洞實際上僅由該攻擊組織使用。研究人員為利用此漏洞的活動以及其他針對巴基斯坦和中國政府和電信公司的工具起了一個名稱——TurtlePower。研究人員還將此漏洞的出現與他們稱為Moses的攻擊聯系了起來。過去兩年中,Moses至少主導開發了五種修復程序。到目前為止,研究人員還能夠將其中一些漏洞利用與至少兩個不同的攻擊組織(BitterAPT和DarkHotel)聯系起來。目前,尚不清楚這些攻擊組織是如何通過直接購買或其他第三方提供商從Moses獲取攻擊的。在TurtlePower活動中,BitterAPT對受害目標使用了各種各樣的工具,包括一個名為ArtraDownloader的第一階段有效載荷,一個名為Splinter的第二階段有效載荷,一個名為SourLogger的鍵盤記錄程序,一個名為SourFilling的信息竊取程序以及Mimikatz的變體,這樣做的目的就是收集特定的信息、文件并保持其訪問權限。這項特別活動似乎也只針對巴基斯坦和中國境內的目標。研究人員可以使用他們自己的數據來驗證針對巴基斯坦境內的特定攻擊,CVE-2021-1732的使用在2020年6月至7月達到頂峰,但活動仍在進行中。
在2020年,研究人員觀察到與“ Dropping Elephant”(又名Patchwork,Chinastrats)有關的新一波攻擊,重點針對中國和巴基斯坦的目標。研究人員還注意到了該組織的傳統業務范圍以外的一些目標,即對中東以及對非洲大陸的興趣日益增長。攻擊發生在該組織完善的TTP之上,其中包括使用旨在利用微軟 Office中的遠程執行代碼漏洞的惡意文檔以及在后期感染階段簽名的JakyllHyde(又名 BadNews)木馬。 Dropping Elephant為JakyllHyde引入了一種新的加載程序,研究人員將其命名為Crypta。該惡意程序包含阻礙檢測的機制,并且似乎是該APT攻擊組織最近的工具集的核心組成部分。在加載大量后續有效載荷(例如Bozok RAT,Quasar RAT和LokiBot)的情況下,已觀察到Crypta及其變體。研究人員研究期間發現的另一個木馬是PubFantacy。據研究人員所知,對此工具的研究結果從未被公開過,并且至少從2018年開始就已被用于攻擊Windows服務器。
研究人員最近發現了SideWinder攻擊組織在2018-2019年使用的一個以前未知的Android植入程序,研究人員將其稱為BroStealer。 BroStealer植入程序的主要目的是從受害者的設備中收集敏感信息,例如照片、SMS消息、通話記錄和來自各種消息傳播應用程序的文件。盡管SideWinder使用Windows平臺開展了許多針對受害者的活動,但最近的報告顯示,該攻擊組織也通過移動平臺攻擊了目標。
其他有趣的發現
在2019年2月,多家網絡安全公司監測到了一系列惡意程序樣本,其中大多數與各種已知的APT組織相關。其中一些樣本無法與任何已知活動相關聯。由于攻擊技術的先進性,其中一些還引起了研究人員的特別注意。盡管研究人員還沒有發現與任何其他已知惡意程序共享代碼,但樣本的編碼模式、樣式和技術卻出現了互相重疊的現象,這在Lambert的各個家庭中都可以看到。因此,研究人員將此惡意程序命名為Purple Lambert。 Purple Lambert由幾個模塊組成,負責監控網絡目標。它能夠為攻擊組織提供有關受感染系統的基本信息,并執行接收到的有效載荷。它的功能使研究人員想起了另一個Gray Lambert。事實證明,Gray Lambert在多次攻擊中都替代了內核模式的White Lambert植入程序。此外,Purple Lambert顯示出的功能類似于Grey Lambert和White Lambert,但本質上還是有所不同。
總結
盡管某些攻擊組織的TTP(戰術、技術和過程)隨時間推移一直在演變,但其攻擊的成功性嚴重依賴于社會工程學,隨著其他攻擊組織迭代已有的工具集并擴大他們的攻擊范圍,相應的攻擊趨勢也發生了變化。以下是研究人員在2021年第一季度看到的主要趨勢:
研究人員在本季度發現的最主要的攻擊也許是SolarWinds攻擊。 SolarWinds再次向人們展示了供應鏈攻擊的復雜攻擊程度,特別是這次攻擊顯示出了攻擊組織正在付出更多努力以進行更好的隱藏并保持持久性攻擊。由于在SolarWinds產品中發現了非常多的零日漏洞,因此研究人員仍在調查這種攻擊的范圍。
另一個關鍵的攻擊趨勢是多個攻擊組織正利用微軟 Exchange的零日漏洞。最近,研究人員發現了另一個利用這些漏洞的攻擊。此外,Lazarus組織還利用了瀏覽器中的零日漏洞來攻擊其目標。
本文翻譯自:https://securelist.com/apt-trends-report-q1-2021/101967/如若轉載,請注明原文地址。
