收藏 [登錄/注冊] 歡迎
榕基門戶網及子站
聯系我們
  • 福建榕基軟件股份有限公司
  • 電話:0591-87860988
  • 傳真:0591-87869595
  • 地址:福建省福州市鼓樓區
  •    軟件大道89號
  •    A區15座
  • 郵編:350003
您的當前位置:首頁 > 技術支持 > 安全公告

卡巴斯基:2019Q2高級持續性威脅(APT)趨勢報告

概述

近兩年來,卡巴斯基的全球研究與分析團隊(GReAT)一直在發布關于高級持續性威脅(APT)活動的季度報告。該報告主要基于我們的威脅情報研究,提供了我們內部APT報告的代表性結論,并將我們認為大家應該關注的重大事件和發現公之于眾。

這是我們最新的一期報告,重點介紹我們在2019年第二季度觀察到的高級持續性威脅活動。

主要發現

4月,我們發布了關于TajMahal的報告,這是一個此前從未見過的APT框架,在過去五年之中一直活躍。具體而言,TajMahal是一個高度復雜的間諜軟件框架,包括后門、加載工具、協調工具、C2通信工具、音頻錄制工具、鍵盤記錄工具、屏幕截取工具和網絡攝像頭錄制工具。我們發現,其加密的虛擬文件系統中存儲了多達80個惡意模塊,我們此前從沒有在APT工具集中見到過如此之多的插件。該惡意軟件具有自己的索引工具和緊急C2,能夠在外部存儲盤再次可用時竊取特定文件,此外還有一系列功能。在我們調查的計算機上,發現該框架使用了兩個不同的包,分別稱為“Tokyo”(東京)和“Yokohama”(橫濱)。我們認為,攻擊者使用Tokyo進行第一階段感染,并在成功感染的受害者主機上部署功能齊全的Yokohama一系列惡意工具,同時將Tokyo作為一個備份。到目前為止,根據我們的遠程監測,僅僅發現了一個受害者,是一個來自中亞某國家的外交機構。這就引出了一個問題,為什么如此復雜的攻擊僅僅針對一個目標?我們認為,可能還有其他受害者尚未發現。有一個證據可以支撐這個說法,我們目前還暫時沒有發現惡意軟件是如何使用VFS中的一個文件,因此可能說明目前仍有尚未檢測到的其他版本的惡意軟件。

5月14日,據英國《金融時報》報道,WhatsApp出現0-day漏洞利用,允許攻擊者對用戶進行竊聽、閱讀用戶的加密聊天內容、打開麥克風和攝像頭、安裝間諜軟件,甚至允許攻擊者進一步對用戶進行監控,例如瀏覽用戶的照片和視頻、訪問用戶的聯系人列表等。要利用此漏洞,攻擊者只需要通過WhatsApp呼叫受害者,有一個特定的調用可以在WhatsApp中觸發緩沖區溢出,允許攻擊者控制應用程序,并在其中執行任意代碼。顯然,攻擊者使用這種方式不僅僅能監控人們的聊天和呼叫,還可以利用操作系統上從前未知的漏洞在設備上安裝應用程序。該漏洞影響WhatsApp for Android 2.19.134及以前版本、WhatsApp for iOS 2.19.51及以前版本、WhatsApp Business for iOS 2.19.51及以前版本、WhatsApp for Windows Phone 2.18.348及以前版本、WhatsApp for Tizen 2.18.15及以前版本,WhatsApp在5月13日發布了該漏洞的補丁。一些研究表明,利用該漏洞的間諜軟件可能是由以色列NSO公司開發的Pegasus。

使用俄語的惡意活動

我們持續跟蹤了使用俄語的一些APT組織的惡意活動。通常來說,這些惡意組織會對政治活動特別感興趣,但除了幾個值得關注的之外,我們在上一季度沒有發現任何具有顯著特征的例子。

在分析過程中,我們發現了Hades與RANA研究所之間的潛在聯系。Hades可能與Sofacy威脅組織有關,最值得注意的是Olympic Destroyer、ExPetr和幾個包含虛假信息的惡意活動,例如Macron漏洞。今年早些時候,一個名為Hidden Reality的網站發表了一篇揭秘文章,表明該組織涉嫌與名為RANA研究所的伊朗實體相關。這是該網站在兩個月內第三次披露與伊朗攻擊者和惡意組織相關的細節。在對樣本、基礎設施和揭秘內容進行分析之后,我們認為,揭秘的這部分內容可能與Hades有關。這可能是一場包含虛假信息的惡意活動中的一部分,Hades針對今年早些時間其他案件中泄露信息的質量提出了質疑。

Zebrocy繼續使用各種編程語言為其武器庫添加新工具。我們發現,Zebrocy在一個東南亞外交組織中,部署了一個編譯過的Python腳本,我們稱之為PythocyDbg——該模塊主要提供網絡代理和通信調試功能。在2019年初,Zebrocy通過使用Nimrod/Nim改變了其開發模式,Nimrod/Nim是一種編程語言,其語法類似于Pascal和Python,可以編譯為JavaScript或C語言的目標程序。該惡意組織主要將Nim下載工具用作釣魚,此外也有一些其他Nim后門代碼在與Go語言和Delphi語言編寫而成的模塊一起提供。這一系列新型Nimcy下載工具和后門主要針對外交官員、國防官員、外交部工作人員發動攻擊,主要希望竊取他們的登錄憑據、鍵盤輸入、通信以及各類文件。該惡意組織似乎已經將注意力轉向巴基斯坦和印度,針對三月事件相關或無關的外交及軍事官員。與此同時,該惡意組織還始終保持著對中亞地區政府本地和遠程網絡的訪問。

近期,我們還觀察到了一些與Turla相關的新跡象,它們具有不同程度的置信度。

在2019年4月,我們觀察到有攻擊者使用新型惡意軟件攻擊與COMpfun惡意軟件的目標相近的目標。Kaspersky Attribution Engine發現新型惡意軟件的代碼與舊版本COMpfun之間具有較強的相似性。除此之外,原始的COMpfun在其中一個傳播機制中被用作下載工具。根據一些樣本的.pdb路徑,我們將新識別的模塊稱為Reductor。我們認為,新型惡意軟件是由與COMPfun相同的作者開發的。根據受害者,我們認為該惡意軟件暫時與Turla APT具有一定關聯。除了典型的RAT功能(上傳、下載、執行文件)之外,Reductor的作者還投入大量精力來操縱已安裝的數字根證書,并使用獨特的主機相關標識符來標記出站TLS流量。惡意軟件將嵌入的根證書添加到目標主機中,并允許惡意運營者通過命名遠程管道來添加其他證書。Reductor的開發人員使用了非常巧妙的方式標記TLS流量,他們完全沒有去研究網絡數據包,相反的是,他們對Firefox和Chrome的二進制代碼進行分析,以修補進程內存中相應的系統偽隨機數生成(PRNG)函數。瀏覽器使用PRNG函數,在TLS握手一開始時就生成“客戶端隨機”(Client Random)序列。Reductor將受害者獨有的標識符(基于當前使用的硬件和軟件計算而成)添加到這個“客戶端隨機”的字段之中。

除此之外,我們發現了一個新的后門,我們確認該后門與Turla相關。該后門名為Tunnus,是基于.NET的惡意軟件,能夠在受感染的系統上運行命令或執行文件操作,并將結果發送到C2。到目前為止,C2基礎架構是使用帶有漏洞的WordPress構建的。根據我們的遠程監測,Tunnus的惡意活動從去年3月開始,在撰寫本文時仍然活躍。

ESET還公開了Turla使用PowerShell腳本來實現直接的內存加載和惡意軟件執行。這并非是威脅攻擊者第一次以這種方式使用PowerShell,但該團隊已經改進了這些腳本,現在正在使用它們從惡意組織的傳統武器庫中加載各種自定義的惡意軟件。通過PowerShell腳本(RPC后門和PowerStallion)提供的Payload是經過高度定制化的。

在過去的一年半中,Symantec一直在追蹤針對全球各地政府和國際組織的一系列惡意活動。這些攻擊的特點是攻擊者使用了一個快速發展的工具集。分析人員發現,在其中一個值得關注的惡意活動中,攻擊者成功劫持了屬于OilRig的基礎設施。進一步,分析人員發現了Waterbug APT組織(又稱為Turla、Snake、Uroburos、Venomous Bear和KRYPTON)對屬于OilRig(又稱為Crambus)的攻擊平臺進行惡意接管的證據。Symantec的研究人員懷疑Turla使用被劫持的網絡攻擊中東政府,然而其目標此前已經被OilRig成功攻擊過。我們此前曾經發現過這樣的惡意活動。顯然,這樣的情況使得我們追溯攻擊者身份的過程變得更加復雜。

使用中文的惡意活動

我們發現了一個使用中文的APT惡意組織的頻繁活動,我們將其稱之為SixLittleMonkeys,它使用新版本的Microcin木馬以及一個RAT(在HawkEye的最后一個階段中使用)。該惡意活動主要針對中亞地區的政府機構。在建立持久性方面,惡意運營者根據搜索到的.DLL文件的先后順序逐一進行劫持。攻擊者使用了自定義的解密工具,將其名稱偽裝成一個系統庫(例如:version.dll或api-ms-win-core-fibers-l1-1-1.dll),并使用合法應用程序將這些庫加載到內存中。在另外一部分合法的應用程序中,威脅行為者使用Google更新程序GoogleCrashHandler.exe進行.DLL劫持。自定義的加密器能夠保護下一階段的惡意工具不會被檢測或分析。在此過程中,惡意軟件使用加密的TLS通信方式與C2進行通信,使用了Secure Channel(Schannel)Windows安全包。

ESET發現,在4月,Plead惡意軟件背后的攻擊者借助已經被攻陷的路由器,使用中間人攻擊(MITM)的方式實現惡意軟件的分發。研究人員已經在臺灣發現了這種惡意活動,臺灣地區是Plead最為活躍的地方之一。Trend Micro此前曾經發表過關于這一惡意軟件的分析,他們發現該惡意軟件在BlackTech組織針對特定目標發動的攻擊之中曾經使用過,他們主要針對亞洲地區開展網絡間諜活動。根據ESET的遠程監控,發現了多次部署該惡意軟件的嘗試。

Palo Alto檢測到的LuckyMouse惡意活動以中東地區的政府組織為目標,攻擊者主要在SharePoint服務器上安裝WebShell,可能還利用了CVE-2019-0604,這是一個用于攻擊服務器并最終安裝WebShell的遠程代碼執行漏洞。攻擊者們上傳了他們用于在受感染網絡上執行其他惡意活動的工具,這些惡意活動例如轉儲憑據、定位并橫向移動到網絡上的其他主機。特別值得注意的是,該惡意組織使用工具來識別存在CVE-2017-0144漏洞的系統,這個漏洞由EternalBlue利用,并被廣泛用于2017年的WannaCry攻擊之中。該活動似乎與沙特阿拉伯網絡安全中心和加拿大網絡安全中心近期提到的與CVE-2019-0604漏洞利用相關的惡意活動有關。

去年,據稱與某亞洲國家政府有關聯的幾名黑客在美國被起訴。今年五月,美國司法部起訴一名亞洲公民,稱其進行了一系列計算機入侵,包括在2015年泄露健康保險公司Anthem的數據,該數據影響到超過7800萬人的個人隱私。

與中東地區相關的惡意活動

在過去三個月之中,該地區的惡意活動非常值得關注,特別是與伊朗相關的活動在短短幾周之內被接連揭秘。更值得關注的是,其中一個漏洞可能是在Sofacy/Hades惡意組織的幫助下開展的虛假信息發布惡意活動中的一部分。

今年3月,有攻擊者通過帳號Dookhtegan和Lab_dookhtegan,使用標簽#apt34在Twitter上發布消息。攻擊者通過Telegram分享了幾個文件,據稱這些文件屬于OilRig威脅組織。其中包含一系列與受害者相關的登錄帳號和密碼、工具、與不同入侵活動相關的基礎設施細節、被指與攻擊相關聯的攻擊者資料、WebShell清單,而上述信息都是與2014至2018年期間的惡意活動相關的。

4月22日,Bl4ck_B0X創建了一個名為GreenLeakers的Telegram頻道。正如創建者描述的那樣,該頻道用于免費發布與MuddyWater APT組織相關的信息。除此之外,Bl4ck_B0X還暗示一些與MuddyWater相關的“高度機密”信息將會被出售。

4月27日,在GreenLeakers Telegram頻道中發布了三張截圖,其中包含來自MuddyWater C2服務器的屏幕截圖。5月1日,該頻道不再對公眾開放,其狀態變為私人。這一調整發生在Bl4ck_B0X有機會發布與MuddyWater相關的承諾信息之前,其關閉的原因尚不清楚。

最后,一個名為Hidden Reality的網站發布了疑似與伊朗RANA研究所這一實體相關的揭秘,這是兩個月內發生的第三起泄密事件,披露了伊朗攻擊者和惡意組織的細節。

值得關注的是,這一次揭秘使用了允許任何人瀏覽的網站,與此前發生的揭秘事件不同。幕后主使還依賴于Telegram和Twitter個人資料,發布與伊朗CNO能力相關的消息。Hidden Reality網站披露了RANA機構計算機網絡運營相關的內部文檔、聊天記錄和其他數據,以及有關受害者的信息。此前,揭秘的信息更多會集中在工具、源代碼和配置文件上。

我們對泄密者使用的樣本、基礎設施和專用網站進行仔細分析,找到了一些線索,我們相信Sofacy/Hades可能與這些泄露事件有關。

此外,還有其他一些與泄露不相關的MuddyWater活動,并且發現了該組織之前的一些活動。例如,ClearSky發現了兩個被MuddyWater在2018年底攻擊的域名,用于托管其POWERSTATS惡意軟件的代碼。

4月,Cisco Talos發布了與MuddyWater惡意活動相關的BlackWater惡意活動分析。該活動展示了攻擊者如何采取三個不同的步驟來進行惡意運營操作,從而允許他們繞過某些安全控制來逃避檢測,這三個步驟分別是:用于在注冊表中創建持久性的混淆后VBA腳本、PowerShell Stager和FruityC2代理腳本、用于進一步枚舉主機的GitHub開源框架。這可能允許攻擊者監視Web日志,并確定惡意活動之外的某個人是否已經向其服務器發出請求以嘗試調查該任意活動。在枚舉命令運行之后,代理會與不同的C2進行通信,并在URL字段中發回數據。Trend Micro還稱,MuddyWater使用了一個名為POWERSTATS v3的新型多階段PowerShell后門。

我們發布了一份關于四個Android惡意軟件系列及其使用的虛假標志技術的內部報告。在其中的一起惡意活動中,攻擊者向約旦的一所大學和土耳其政府發送了魚叉式網絡釣魚電子郵件,使用受感染的合法帳戶誘騙受害者安裝惡意軟件。

關于其他惡意組織,我們發現了與ZooPark相關的新型活動,ZooPark是一個網絡間諜威脅組織,主要竊取Android設備的數據。我們的新發現包括自2016年以來部署的新惡意樣本和其他基礎架構。這也導致我們發現由同一威脅行為者部署的Windows惡意軟件植入。我們發現的其他指標揭示了惡意活動的目標,其中包括伊朗庫爾德人,主要針對持不同政見者和政治活動家。

Recorded Future發布了針對APT33(又稱為Elfin)創建的針對沙特組織基礎設施的分析。繼3月份Symantec發現大量基礎設施和運營活動之后,Recorded Future的研究人員發現,APT33(或與之緊密相關的惡意組織)的攻擊者正在停用或重新分配部分域名,這一系列活動在報告公開的1天左右之后進行,這表明伊朗的威脅行為者敏銳地觀察到媒體對其惡意活動的報道,并且能夠迅速作出反應。在此之后,攻擊者持續使用大量的運營基礎設施,其中包含超過1200個域名,許多研究團隊觀察到他們與19種不同的商業化RAT植入工具進行通信。值得關注的一點是,該惡意組織似乎對njRAT的偏好有所增加,超過一半的疑似APT33基礎設施都部署了njRAT。

從更具政治性的層面上來看,有一些新聞報道與伊朗的惡意活動相關。

與伊朗革命衛隊有關聯的一個惡意組織近期被指責對英國國家基礎設施發動了一系列的網絡攻擊,包括郵局、地方政府網絡、私人公司和銀行。數千名員工的個人數據被盜。有證據表明,該組織還參與了2017年對英國議會網絡的攻擊。英國NCSC(國家網絡安全中心)正在向受影響的組織提供援助。

微軟近期收到了美國法院的命令,要求接管伊朗黑客組織APT35(又稱為Phosphorus and Charming Kitten)使用的99個網站。威脅組織使用與微軟、雅虎高度相像的欺騙性網站,針對伊朗的企業、政府機構、記者和政治活動家進行網絡攻擊。隨著這些惡意網站被接管,惡意組織將不得不繼續重建其基礎設施。

美國網絡安全和基礎設施安全局(CISA)報告稱,伊朗攻擊者發起的網絡攻擊事件有所增加,其目標是使用破壞性工具針對美國的工業和政府機構發起攻擊。該聲明由CISA的主任Chris Krebs在Twitter上發布。

與東南亞和朝鮮半島相關的惡意活動

本季度,我們發現了很多與韓國相關的活動。然而,對于東南亞其他地區而言,本季度沒有太多的惡意活動,特別是與此前相比較而言。

在第二季度初,我們發現了針對韓國移動游戲公司的一項Lazarus攻擊,我們認為這一攻擊的目的是竊取應用程序源代碼。很明顯,Lazarus不斷更新其工具,與此同時,通常以金融機構為目標的Lazarus子集團BlueNoroff針對中亞地區銀行和中國的加密貨幣業務發動攻擊。

在最近的一次惡意活動中,我們觀察到ScarCruft使用多階段的二進制文件來感染幾個受害者,并且最終安裝一個名為ROKRAT的最終階段Payload,這是一個基于云服務的后門。ScarCruft是以技術熟練的APT組織,此前針對朝鮮半島發動攻擊。我們發現,全球范圍內的一些受害者是與朝鮮相關的公司和個人,以及一個外交機構。有趣的是,我們觀察到ScarCruft持續在其工具中采用公開可用的漏洞利用代碼。在俄羅斯,我們還發現一名受害者同時遭到了ScarCruft和DarkHotel的攻擊,而這種情況并非第一次發生。

ESET近期分析了一個來自OceanLotus惡意組織的新型MacOS樣本,該樣本已經上傳至VirusTotal上。這個后門與此前的MacOS版本共享其功能,但二者的結構已經改變,現在對其進行檢測將會更加困難。研究人員無法找到與此樣本相關的Dropper,因此他們無法識別最初的攻擊維度。

美國國土安全部(DHS)報告稱,朝鮮政府正在使用被稱為HOPLIGHT的木馬變種。該報告針對9個惡意可執行文件進行了分析,其中有7個屬于代理應用程序,用于屏蔽惡意軟件和遠程運營者之間的流量。代理使用有效的gonggongSSL證書生成偽TLS握手會話,偽裝與遠程惡意行為者的網絡連接。其中的一個文件包含公共SSL證書,文件的Payload似乎使用密碼或密鑰進行編碼。其余文件不包含任何公共SSL證書,但會嘗試出站連接并投放四個文件,其投放的文件主要包含IP地址和SSL證書。

6月,我們發現了一組值得關注的樣本,瞄準南亞和東南亞國家的外交、政府和軍事組織。我們認為,這是PLATINUM APT組織背后的威脅行為者精心設計的,此前使用無法被發現的隱寫技術來隱藏通信。在幾年前,我們曾預測過越來越多的APT和惡意軟件開發者將會使用隱寫術,這個惡意活動就是一個最好的例子——攻擊者在這個APT中使用了兩種不同的隱寫技術。同樣值得關注的是,攻擊者決定將他們需要的實用程序作為一個龐大的集合來實現,基于框架的體系結構正在變得越來越流行。

其他值得關注的發現

5月14日,Microsoft針對遠程桌面服務(以前稱為終端服務)中的關鍵遠程代碼執行漏洞(CVE-2019-0708)發布了修復程序,該漏洞影響某些舊版本的Windows系統(包括Windows 7、Windows Server 2008 R2、Windows Server 2008)和一些不受支持的Windows版本(包括Windows 2003和Windows XP)。有關如何緩解此漏洞的詳細信息,可以參考我們的內部報告“CVE-2019-0708的分析和檢測指南”。遠程桌面協議(RDP)本身不容易受到攻擊。該漏洞是預身份驗證漏洞,無需用戶交互。換句話說,利用此漏洞的任何惡意軟件,都可能會以類似于WannaCry傳播的方式,從一臺存在此漏洞的計算機傳播到另一臺存在此漏洞的計算機上。Microsoft沒有觀察到對此漏洞的利用,但認為惡意攻擊者極有可能為其編寫漏洞利用并用在實際攻擊之中。

6月初,Malwarebytes Labs的研究人員在Amazon CloudFront(內容交付網絡CDN)上觀察到了許多實際攻擊活動,其中托管的JavaScript庫被篡改,并注入了網絡分流器。盡管理論上,涉及CDN的攻擊通常會通過其供應鏈立即影響大量網絡資產,但事實中并非都是如此。有些網站使用Amazon的云基礎架構來托管自己的庫,或者連接到專門為他們開發并托管在自定義AWS S3 Bucket上的代碼。如果沒有正確驗證外部加載的內容,這些網站會向用戶暴露各種威脅,包括一些竊取信用卡數據的威脅。在分析了這些漏洞之后,研究人員發現,它們是Magecart威脅行為者開展的一項惡意活動,主要攻擊目標是CDN。如今,CDN已經被廣泛使用,主要因為它為網站所有者提供了巨大的好處,包括優化加載時間、減少成本、幫助進行各類數據分析等。這些被攻擊的網站之間沒有任何其他共同之處,唯一的共同點就是他們都是用自己的自定義CDN來加載各種庫。實際上,CDN存儲庫被攻擊的受害者,也就是他們自己。

據Dragos報道稱,2017年TRISIS(又稱為TRITON和HatMan)背后的APT組織XENOTIME已經將攻擊目標擴展到石油和天然氣行業之外。研究人員最近發現,該組織在美國和其他地方偵查電力公用事業組織相關的網絡,可能會對造成物理損害或人身傷害的關鍵基礎設施發動危險的攻擊。Dragos在2018年年底首先注意到該惡意組織攻擊目標的改變,并且該攻擊持續到2019年。

我們最近報道了2018年中開發的最新版本FinSpy(包括Android和iOS)。該監控軟件被銷售給世界各地的政府和執法機構,他們使用該軟件來收集各種平臺上的各類用戶信息。維基解密首次發現了2011年臺式機設備的植入程序,2012年發現了移動設備的植入程序。從那時開始,卡巴斯基團隊開始不斷監測這種惡意軟件的發展趨勢及野外新版本的出現。適用于iOS和Android的移動植入程序基本具有相同的功能,能夠收集個人信息,包括聯系人、短信息、電子郵件、日歷、GPS位置、照片、內存中的文件、電話錄音和Messengers的數據。Android植入程序包含通過濫用已知漏洞,在未root設備上獲取root權限的功能。似乎iOS的版本不包含漏洞利用模塊,該產品似乎經過精心調整,可以清除公開可用的越獄工具。這可能意味著,在設備尚未越獄的情況下,需要對受害者的設備進行物理訪問。最新版本中包含我們以前沒有觀察到的多種功能。在我們最近的研究中,我們在近20個國家檢測到這些植入工具的最新版本,但根據我們客戶群體的規模來判斷,受害者的實際數量可能會更多。

總結

本季度中東地區的APT活動非常值得關注,特別是與伊朗相關的惡意活動。其中的一個攻擊活動,可能是在Sofacy/Hades威脅組織幫助下開展的。

在此前,東南亞可能是APT最為活躍的地區,而本季度發現的惡意活動主要與韓國相關。該區域內的其他地區,在本季度中較為平靜。

針對所有地區,地緣政治仍然是APT活動的主要導火索。

根據我們對FinSpy的分析中可以清楚地看出,政府和執法機構對商業惡意軟件的需求很高。

在本季度中,最引人關注的一個方面是我們發現了TajMahal,這是一個以前從未見過且技術非常復雜的APT框架,至少已經開發了5年之久。這個成熟的間諜框架中包含多達80個存儲在其加密虛擬文件系統中的惡意模塊,這是我們見過的APT工具集中具有最多插件的一個。

與往常一樣,我們的報告是針對所有已知威脅的描述。但需要明確的是,盡管我們努力在不斷改進,但還是會存在一些未被監測到的其他復雜攻擊活動。 

福彩3d跨度走势图300期带连线