六年多來，卡巴斯基的全球研究和分析團隊（GReAT）一直在發布針對高級持續性威脅（APT）活動的季度摘要。這些總結是基于其以往的威脅情報研究撰寫的，旨在突出公眾應該了解的重大事件和發現。

重點發現

6月初，卡巴斯基研究人員發現了一種針對iOS設備的惡意軟件活動，稱之為“Operation Triangulation”，能夠在沒有任何用戶交互的情況下，觸發系統內漏洞，從而執行任意惡意代碼。

事件之初，卡巴斯基在監控公司專用于移動設備的Wi-Fi網絡流量時，注意到多個iOS手機存在可疑活動。由于無法從內部檢查最新iOS設備，卡巴斯基通過創建相關設備的離線備份，使用移動驗證工具包的mvt-ios對其進行檢查，最終發現了入侵痕跡。

研究發現，該惡意軟件活動會通過iMessage服務向目標iOS設備發送帶有漏洞利用程序的附件，能夠在沒有任何用戶交互的情況下，觸發導致代碼執行的漏洞。然后，該漏洞利用程序會從C&C服務器下載多個漏洞代碼，其中包括用于提權的額外利用程序。

最后，從C&C服務器下載最終有效負載：一個高度復雜的間諜軟件植入物，名為“TriangleDB”。該植入程序在內存中運行，定期與命令和控制（C2）基礎設施通信以接收命令。該植入程序允許攻擊者瀏覽和修改設備文件，獲取存儲在鑰匙鏈中的密碼和憑證，檢索地理位置信息，以及執行額外的模塊，進一步擴展他們對受感染設備的控制。

俄語地區的活動

俄烏沖突點燃了世界各地多個派系的攻擊活動。網絡攻擊激增，各種黑客組織紛紛站隊。在民族主義理想和動機的推動下，Killnet迅速成為親俄情緒最為高漲的黑客組織之一。與“奇幻熊”和“沙蟲”等具有俄羅斯情報機構背景的俄羅斯黑客組織不同，Killnet更像是一個“憤怒的、民族主義的在線暴徒”，其以一種情緒化的方式運作，且只具備低級的網絡攻擊工具和策略。

Killnet主要使用分布式拒絕服務（DDoS）攻擊作為破壞手段。在眾多盟友和不斷增長的粉絲基礎的支持下，它已經成功地瞄準了北約附屬的多個實體，包括拉脫維亞、立陶宛、挪威、意大利和愛沙尼亞等。它最近的攻擊已經擴展到美國的醫療機構，同時還泄露了來自不同實體的文件，試圖在對手中造成心理和組織上的影響。

研究人員稱，Killnet的成功之處不在于其技術先進性或滲透和破壞網絡的能力，而是對攻擊成果的宣揚，包括通過公告視頻和水印圖像等形式開展媒體公關。

西班牙語地區的活動

自2015年開始，KelvinSecurity組織便始終處于活躍狀態。KelvinSecurity通常以Kristina的名義運作，該組織通常利用fuzzing技術和常見的漏洞來鎖定受害者，對工具的使用駕輕就熟并且對漏洞有非常深入的研究。通常該組織瞄準的對象都是有共同的基礎技術或基礎設施。他們在網絡犯罪論壇和通信渠道（如Telegram）上公開分享新的漏洞、目標和數據庫等信息，還經常分享其工具清單和有效載荷。

除此之外，研究人員還發現了針對哥倫比亞政府實體的“BlindEagle”間諜活動，該活動至少從今年3月便開始活躍。據分析，BlindEagle以南美的機構和公司為目標，主要從事網絡間諜活動，同時也從事金融信息盜竊。

在最近的一份報告中，研究人員發現該威脅組織利用了Quasar RAT的修改版本，將其重新用作銀行木馬，專門針對哥倫比亞金融實體的客戶。然而，在最新的活動中，BlindEagle已將其重點轉移到另一種被稱為“njRAT”的開源RAT，其主要目標是對其受害者進行間諜活動。

中東地區的活動

研究人員最近從一個針對伊朗政府實體的活動中獲得了JackalControl C2通信，該活動一直持續到2023年4月初。其背后組織GoldenJackal是2020年發現的一個APT組織，主要針對中東和南亞的知名實體。

多年來，卡巴斯基實驗室的研究人員一直在監測該組織，并觀察到這是一個極其專業的組織。該組織的主要開發.NET惡意軟件、JackalControl、JackalWorm、JackalSteal等特定工具集，目的是控制受害者計算機；在使用可移動驅動器的系統中傳播；從受感染的系統中竊取某些文件；竊取憑據；收集有關本地系統和用戶網絡活動的信息等。根據工具集和攻擊者的行為，研究人員認為GoldenJackal APT組織的主要動機是間諜活動。

此次，研究人員還發現了兩個新的惡意軟件樣本——“JackalPerInfo”和“JackalScreenWatcher”——并將其與GoldenJackal組織聯系起來，懷疑它們自2020年以來便一直是其工具集的一部分。這些工具主要用于攻擊的后利用階段，從受感染的主機收集屏幕截圖和各種文件。

4月26日，一個第三方公開描述了BellaCiao（一個惡意腳本dropper），并將其與Charming Kitten（又名APT35）聯系在一起。之后，卡巴斯基研究人員檢索了幾個BellaCiao樣本，包括未記錄的變體，并提供了額外的IoC，以及相關惡意活動和工具的上下文信息，結果發現攻擊者可能利用面向互聯網的服務器上的漏洞來部署BellaCiao。這些行動至少可以追溯到2022年5月，而對惡意基礎設施的分析結果表明，潛在行動可能從2021年就已開始。

雖然攻擊者主要利用Plink在惡意基礎設施和目標服務器之間建立隧道，但它也利用了用Rust編寫的開源工具“bore”。此外，研究人員還發現了WatchMaster，這可能是一個相關的工具，它試圖動態刪除asp.net文件（除了IIS服務器上的一些web shell）。根據遙測數據顯示，至少從2022年11月開始，BellaCiao就被用來攻擊阿富汗、奧地利、以色列和土耳其的目標。此外，一些樣本的內容表明，植入程序還可能被用來攻擊意大利的組織。攻擊者使用BellaCiao到達RDP服務器，并從受攻擊的組織獲取憑據。

在之前關于OilRig APT的報告中，研究人員分析了2022年8月針對約旦一家IT公司的針對性攻擊，并認為這可能是針對政府機構的供應鏈攻擊。那次入侵在2022年9月消失了，并在2022年11月左右又使用更新的工具重新出現，隨后再次消失。最近，研究人員發現了一組新的樣本，與之前針對約旦公司的入侵相似，同時還有類似的TTP。然而，不同之處在于此次入侵發生在阿聯酋的一家IT公司。

東南亞和朝鮮半島

2022年9月初，卡巴斯基研究團隊檢測到了幾個來自MATA集群的惡意軟件，目標是東歐的國防承包商。該活動一直持續到2023年3月。在進一步擴大研究范圍后，研究人員發現了具有完整感染鏈的其他新的活躍活動，包括設計用于通過U盤在氣隙（air-gapped）網絡中運行的植入物，以及Linux MATA后門。

更新的MATA惡意軟件使用魚叉式網絡釣魚技術進行分發，同時攻擊者使用驗證程序在多個階段部署惡意軟件。威脅行為者還濫用了受害者使用的各種安全和反惡意軟件解決方案。新的MATA編排器對其加密、配置和通信協議進行了多項修改，看起來像是從頭開始重寫的。下一代MATA包括規避網絡限制的新功能，允許攻擊者在受害者網絡中構建復雜的代理鏈，并創建用于C2通信的各種通信協議的“堆棧”。

研究人員還發現了一個新的變種，MATAv5。這個復雜的惡意軟件，完全是從頭開始重寫的，展示了一個先進而復雜的架構，利用可加載和嵌入式模塊和插件。MATAv5能夠在不同的進程中同時作為服務和DLL運行。該惡意軟件利用內部進程間通信（IPC）通道，并使用各種命令，使其能夠跨各種協議建立代理鏈，包括在受害者的環境中。

雖然MATAv5經歷了實質性的發展，并且與先前版本共享的代碼極少，但在協議、命令和插件結構方面仍然存在相似之處。這些相似之處表明，在不同迭代的惡意軟件中，實現功能的方法是一致的。

研究人員還一直在追蹤一個未知的惡意軟件集群，被稱為“ScoutEngine”。最初，研究人員并未發現其與已知惡意軟件或威脅參與者存在相似之處。然而，在仔細檢查整個惡意軟件后，結果發現該惡意軟件自2020年以來便一直處于持續開發狀態。ScoutenEngine存在多個版本（從2.1到2.3），且每個版本都有不同的感染方案，隨著版本的發展，惡意軟件開發者已經更新了檢索下一階段有效載荷和配置數據、解密密鑰和C2通信格式的方法。

ScouEngine的目標是根據攻擊者的命令獲取額外的有效負載，并在內存中執行它們。不幸的是，研究人員目前無法確定最終的有效載荷。不過，一個肯定的結論是：ScouEngine集群歸屬于Lazarus group。它的組件和配置與Lazarus惡意軟件非常相似，特別是，ScoutenEngine采用了一種不同尋常的方法（以前曾在CookieTime惡意軟件中觀察到）來生成注冊表路徑并獲取配置數據。

3月29日，CrowdStrike發布了一個關于供應鏈攻擊的警報，該攻擊影響了流行的3CXDesktopApp VoIP軟件。在其報告中，他們暫時將正在進行的攻擊歸因于Lazarus group。在調查與3CX攻擊相關的活動時，卡巴斯基研究人員發現了另一個針對Trading Technologies開發的X_TRADING軟件的供應鏈攻擊的證據。這種攻擊自2021年底以來便一直存在，與3CX活動有相似之處。

此外，研究人員發現3CX攻擊的幕后主使（也認為是Lazarus），正在使用被命名為“Gopuram”的后門來攻擊3CX入侵的選定受害者。卡巴斯基對Gopuram的分析可以追溯到2020年，同時期發現的還有已知與Lazarus有關的AppleJeus惡意軟件。

此外，研究人員最近還發現了一個“BlueNoroff”活動，該活動利用木馬化的PDF閱讀器實現了新的惡意軟件交付方法，主要針對Windows和macOS系統。該惡意軟件被設計為只在受害者打開惡意PDF文件時執行，一旦打開，PDF閱讀器就會從PDF文件中檢索誘餌PDF文檔的偏移量和C2 URL。

研究表明，這次攻擊中使用的誘餌文件與風險投資和政府機構的調查報告有關。一旦惡意軟件成功檢索到這些信息，它就會將受害者的數據發送到遠程服務器，并啟動執行來自攻擊者服務器的額外有效負載。這是BlueNoroff組織第一次實施macOS惡意軟件。此外，該組織在攻擊的初始階段使用了編譯的AppleScript，而木馬化的PDF閱讀器所獲取的惡意軟件是使用Rust編程語言創建的。這是BlueNoroff組織第一次使用Rust作為惡意軟件。由于目標環境的多樣性，BlueNoroff小組使用了額外的編程語言和方法來有效地交付其惡意軟件。

過去幾年，亞太地區一直是各種威脅行為者進行網絡攻擊的熱點地區。在活躍于該地區的眾多APT組織中，有一些將重點放在了巴基斯坦受害者身上，其中一個被命名為“Mysterious Elephant”。分析發現，Mysterious Elephant使用的一些工具與該地區其他威脅行為者以前使用的舊工具有相似之處，例如，早期版本的Rover后門是由SideWinder和Confucius使用。

不過，在最新活動中，該組織開始使用新的后門家族，并通過RTF文檔利用CVE-2017-11882漏洞進行傳播。此文檔通過另一個作為遠程模板的魚叉式網絡釣魚文檔下載。后門模塊使用遠程過程調用（RPC）與其C2服務器建立通信，并能夠在受害者的機器上執行文件或命令，以及從C2服務器接收文件或命令，以便在受感染的計算機上執行。

隨著微軟禁用宏嵌入Office文檔，威脅行為者開始采用新的惡意軟件傳播方法，其中包括ScarCruft組織，他們迅速改變了最初的感染策略。該組織經營著兩個名為“Chinotto”和“RokRat”的集群。雖然他們以往嚴重依賴宏嵌入的Word文檔，但他們不斷采用其他文件格式，例如編譯的HTML（. chm）和Windows快捷方式（. lnk）文件。此外，為了規避網絡標記（MOTW）攻擊，這些文件以歸檔文件格式（如.rar和.zip）或光盤映像（. iso）文件格式交付。盡管對初始感染載體進行了持續測試，但這些行為者堅持使用相同的最終有效載荷。Chinotto集群仍然使用Chinotto PowerShell腳本作為最終有效載荷，它負責在受害者的計算機上執行Windows命令。

同樣，RokRat惡意軟件通過復雜的感染程序傳遞給受害者。這表明威脅行為者在初始感染載體上投入了大量精力，同時仍然依賴于相同的最終有效載荷。

原文鏈接：https://securelist.com/apt-trends-report-q2-2023/110231/