六年多来,卡巴斯基的全球研究和分析团队(GReAT)一直在发布针对高级持续性威胁(APT)活动的季度摘要。这些总结是基于其以往的威胁情报研究撰写的,旨在突出公众应该了解的重大事件和发现。
重点发现
6月初,卡巴斯基研究人员发现了一种针对iOS设备的恶意软件活动,称之为“Operation Triangulation”,能够在没有任何用户交互的情况下,触发系统内漏洞,从而执行任意恶意代码。
事件之初,卡巴斯基在监控公司专用于移动设备的Wi-Fi网络流量时,注意到多个iOS手机存在可疑活动。由于无法从内部检查最新iOS设备,卡巴斯基通过创建相关设备的离线备份,使用移动验证工具包的mvt-ios对其进行检查,最终发现了入侵痕迹。
研究发现,该恶意软件活动会通过iMessage服务向目标iOS设备发送带有漏洞利用程序的附件,能够在没有任何用户交互的情况下,触发导致代码执行的漏洞。然后,该漏洞利用程序会从C&C服务器下载多个漏洞代码,其中包括用于提权的额外利用程序。
最后,从C&C服务器下载最终有效负载:一个高度复杂的间谍软件植入物,名为“TriangleDB”。该植入程序在内存中运行,定期与命令和控制(C2)基础设施通信以接收命令。该植入程序允许攻击者浏览和修改设备文件,获取存储在钥匙链中的密码和凭证,检索地理位置信息,以及执行额外的模块,进一步扩展他们对受感染设备的控制。
俄语地区的活动
俄乌冲突点燃了世界各地多个派系的攻击活动。网络攻击激增,各种黑客组织纷纷站队。在民族主义理想和动机的推动下,Killnet迅速成为亲俄情绪最为高涨的黑客组织之一。与“奇幻熊”和“沙虫”等具有俄罗斯情报机构背景的俄罗斯黑客组织不同,Killnet更像是一个“愤怒的、民族主义的在线暴徒”,其以一种情绪化的方式运作,且只具备低级的网络攻击工具和策略。
Killnet主要使用分布式拒绝服务(DDoS)攻击作为破坏手段。在众多盟友和不断增长的粉丝基础的支持下,它已经成功地瞄准了北约附属的多个实体,包括拉脱维亚、立陶宛、挪威、意大利和爱沙尼亚等。它最近的攻击已经扩展到美国的医疗机构,同时还泄露了来自不同实体的文件,试图在对手中造成心理和组织上的影响。
研究人员称,Killnet的成功之处不在于其技术先进性或渗透和破坏网络的能力,而是对攻击成果的宣扬,包括通过公告视频和水印图像等形式开展媒体公关。
西班牙语地区的活动
自2015年开始,KelvinSecurity组织便始终处于活跃状态。KelvinSecurity通常以Kristina的名义运作,该组织通常利用fuzzing技术和常见的漏洞来锁定受害者,对工具的使用驾轻就熟并且对漏洞有非常深入的研究。通常该组织瞄准的对象都是有共同的基础技术或基础设施。他们在网络犯罪论坛和通信渠道(如Telegram)上公开分享新的漏洞、目标和数据库等信息,还经常分享其工具清单和有效载荷。
除此之外,研究人员还发现了针对哥伦比亚政府实体的“BlindEagle”间谍活动,该活动至少从今年3月便开始活跃。据分析,BlindEagle以南美的机构和公司为目标,主要从事网络间谍活动,同时也从事金融信息盗窃。
在最近的一份报告中,研究人员发现该威胁组织利用了Quasar RAT的修改版本,将其重新用作银行木马,专门针对哥伦比亚金融实体的客户。然而,在最新的活动中,BlindEagle已将其重点转移到另一种被称为“njRAT”的开源RAT,其主要目标是对其受害者进行间谍活动。
中东地区的活动
研究人员最近从一个针对伊朗政府实体的活动中获得了JackalControl C2通信,该活动一直持续到2023年4月初。其背后组织GoldenJackal是2020年发现的一个APT组织,主要针对中东和南亚的知名实体。
多年来,卡巴斯基实验室的研究人员一直在监测该组织,并观察到这是一个极其专业的组织。该组织的主要开发.NET恶意软件、JackalControl、JackalWorm、JackalSteal等特定工具集,目的是控制受害者计算机;在使用可移动驱动器的系统中传播;从受感染的系统中窃取某些文件;窃取凭据;收集有关本地系统和用户网络活动的信息等。根据工具集和攻击者的行为,研究人员认为GoldenJackal APT组织的主要动机是间谍活动。
此次,研究人员还发现了两个新的恶意软件样本——“JackalPerInfo”和“JackalScreenWatcher”——并将其与GoldenJackal组织联系起来,怀疑它们自2020年以来便一直是其工具集的一部分。这些工具主要用于攻击的后利用阶段,从受感染的主机收集屏幕截图和各种文件。
4月26日,一个第三方公开描述了BellaCiao(一个恶意脚本dropper),并将其与Charming Kitten(又名APT35)联系在一起。之后,卡巴斯基研究人员检索了几个BellaCiao样本,包括未记录的变体,并提供了额外的IoC,以及相关恶意活动和工具的上下文信息,结果发现攻击者可能利用面向互联网的服务器上的漏洞来部署BellaCiao。这些行动至少可以追溯到2022年5月,而对恶意基础设施的分析结果表明,潜在行动可能从2021年就已开始。
虽然攻击者主要利用Plink在恶意基础设施和目标服务器之间建立隧道,但它也利用了用Rust编写的开源工具“bore”。此外,研究人员还发现了WatchMaster,这可能是一个相关的工具,它试图动态删除asp.net文件(除了IIS服务器上的一些web shell)。根据遥测数据显示,至少从2022年11月开始,BellaCiao就被用来攻击阿富汗、奥地利、以色列和土耳其的目标。此外,一些样本的内容表明,植入程序还可能被用来攻击意大利的组织。攻击者使用BellaCiao到达RDP服务器,并从受攻击的组织获取凭据。
在之前关于OilRig APT的报告中,研究人员分析了2022年8月针对约旦一家IT公司的针对性攻击,并认为这可能是针对政府机构的供应链攻击。那次入侵在2022年9月消失了,并在2022年11月左右又使用更新的工具重新出现,随后再次消失。最近,研究人员发现了一组新的样本,与之前针对约旦公司的入侵相似,同时还有类似的TTP。然而,不同之处在于此次入侵发生在阿联酋的一家IT公司。
东南亚和朝鲜半岛
2022年9月初,卡巴斯基研究团队检测到了几个来自MATA集群的恶意软件,目标是东欧的国防承包商。该活动一直持续到2023年3月。在进一步扩大研究范围后,研究人员发现了具有完整感染链的其他新的活跃活动,包括设计用于通过U盘在气隙(air-gapped)网络中运行的植入物,以及Linux MATA后门。
更新的MATA恶意软件使用鱼叉式网络钓鱼技术进行分发,同时攻击者使用验证程序在多个阶段部署恶意软件。威胁行为者还滥用了受害者使用的各种安全和反恶意软件解决方案。新的MATA编排器对其加密、配置和通信协议进行了多项修改,看起来像是从头开始重写的。下一代MATA包括规避网络限制的新功能,允许攻击者在受害者网络中构建复杂的代理链,并创建用于C2通信的各种通信协议的“堆栈”。
研究人员还发现了一个新的变种,MATAv5。这个复杂的恶意软件,完全是从头开始重写的,展示了一个先进而复杂的架构,利用可加载和嵌入式模块和插件。MATAv5能够在不同的进程中同时作为服务和DLL运行。该恶意软件利用内部进程间通信(IPC)通道,并使用各种命令,使其能够跨各种协议建立代理链,包括在受害者的环境中。
虽然MATAv5经历了实质性的发展,并且与先前版本共享的代码极少,但在协议、命令和插件结构方面仍然存在相似之处。这些相似之处表明,在不同迭代的恶意软件中,实现功能的方法是一致的。
研究人员还一直在追踪一个未知的恶意软件集群,被称为“ScoutEngine”。最初,研究人员并未发现其与已知恶意软件或威胁参与者存在相似之处。然而,在仔细检查整个恶意软件后,结果发现该恶意软件自2020年以来便一直处于持续开发状态。ScoutenEngine存在多个版本(从2.1到2.3),且每个版本都有不同的感染方案,随着版本的发展,恶意软件开发者已经更新了检索下一阶段有效载荷和配置数据、解密密钥和C2通信格式的方法。
ScouEngine的目标是根据攻击者的命令获取额外的有效负载,并在内存中执行它们。不幸的是,研究人员目前无法确定最终的有效载荷。不过,一个肯定的结论是:ScouEngine集群归属于Lazarus group。它的组件和配置与Lazarus恶意软件非常相似,特别是,ScoutenEngine采用了一种不同寻常的方法(以前曾在CookieTime恶意软件中观察到)来生成注册表路径并获取配置数据。
3月29日,CrowdStrike发布了一个关于供应链攻击的警报,该攻击影响了流行的3CXDesktopApp VoIP软件。在其报告中,他们暂时将正在进行的攻击归因于Lazarus group。在调查与3CX攻击相关的活动时,卡巴斯基研究人员发现了另一个针对Trading Technologies开发的X_TRADING软件的供应链攻击的证据。这种攻击自2021年底以来便一直存在,与3CX活动有相似之处。
此外,研究人员发现3CX攻击的幕后主使(也认为是Lazarus),正在使用被命名为“Gopuram”的后门来攻击3CX入侵的选定受害者。卡巴斯基对Gopuram的分析可以追溯到2020年,同时期发现的还有已知与Lazarus有关的AppleJeus恶意软件。
此外,研究人员最近还发现了一个“BlueNoroff”活动,该活动利用木马化的PDF阅读器实现了新的恶意软件交付方法,主要针对Windows和macOS系统。该恶意软件被设计为只在受害者打开恶意PDF文件时执行,一旦打开,PDF阅读器就会从PDF文件中检索诱饵PDF文档的偏移量和C2 URL。
研究表明,这次攻击中使用的诱饵文件与风险投资和政府机构的调查报告有关。一旦恶意软件成功检索到这些信息,它就会将受害者的数据发送到远程服务器,并启动执行来自攻击者服务器的额外有效负载。这是BlueNoroff组织第一次实施macOS恶意软件。此外,该组织在攻击的初始阶段使用了编译的AppleScript,而木马化的PDF阅读器所获取的恶意软件是使用Rust编程语言创建的。这是BlueNoroff组织第一次使用Rust作为恶意软件。由于目标环境的多样性,BlueNoroff小组使用了额外的编程语言和方法来有效地交付其恶意软件。
过去几年,亚太地区一直是各种威胁行为者进行网络攻击的热点地区。在活跃于该地区的众多APT组织中,有一些将重点放在了巴基斯坦受害者身上,其中一个被命名为“Mysterious Elephant”。分析发现,Mysterious Elephant使用的一些工具与该地区其他威胁行为者以前使用的旧工具有相似之处,例如,早期版本的Rover后门是由SideWinder和Confucius使用。
不过,在最新活动中,该组织开始使用新的后门家族,并通过RTF文档利用CVE-2017-11882漏洞进行传播。此文档通过另一个作为远程模板的鱼叉式网络钓鱼文档下载。后门模块使用远程过程调用(RPC)与其C2服务器建立通信,并能够在受害者的机器上执行文件或命令,以及从C2服务器接收文件或命令,以便在受感染的计算机上执行。
随着微软禁用宏嵌入Office文档,威胁行为者开始采用新的恶意软件传播方法,其中包括ScarCruft组织,他们迅速改变了最初的感染策略。该组织经营着两个名为“Chinotto”和“RokRat”的集群。虽然他们以往严重依赖宏嵌入的Word文档,但他们不断采用其他文件格式,例如编译的HTML(. chm)和Windows快捷方式(. lnk)文件。此外,为了规避网络标记(MOTW)攻击,这些文件以归档文件格式(如.rar和.zip)或光盘映像(. iso)文件格式交付。尽管对初始感染载体进行了持续测试,但这些行为者坚持使用相同的最终有效载荷。Chinotto集群仍然使用Chinotto PowerShell脚本作为最终有效载荷,它负责在受害者的计算机上执行Windows命令。
同样,RokRat恶意软件通过复杂的感染程序传递给受害者。这表明威胁行为者在初始感染载体上投入了大量精力,同时仍然依赖于相同的最终有效载荷。
原文链接:https://securelist.com/apt-trends-report-q2-2023/110231/
