前言
卡巴斯基全球研究与分析团队(GreAT)在近两年多来一直在发布高级持续性威胁(APT)活动的季度报告。这些报告内容主要基于我们的威胁情报研究,提供了我们在内部APT报告中已经发表、详细讨论的内容。我们希望通过该报告,突出展现应该充分引起大家关注的重大事件和发现。
本报告重点关注我们在2019年第三季度观察到的恶意活动。
重要发现
2019年8月30日,来自Google Project Zero团队的Ian Beer发表了一份分析报告,对在野外发现的14个iOS 0-day漏洞进行了分析,并在5个漏洞利用链中使用了这些0-day,以提升未知威胁参与者的特权。尽管使用水坑攻击在2010年之后的几年中比较流行,但时至今日,已经不再那么流行。根据Google的说法,许多被水坑攻击的网站可能在三年前就发布了漏洞利用程序。尽管文章中没有包含有关感染网站或者它们是否仍然活动的详细信息,但该系列文章声称,这些网站每周仍然有成千上万的访问者。用于感染用户的第一阶段Webkit漏洞利用程序之间没有任何差别,只是换成了受害者在iPhone上使用Safari浏览网站,该漏洞也存在于其他浏览器(例如:Chrome)中。攻击者没有针对特定目标发动攻击,但根据受害者用户的人数,表明该攻击可能是针对特定群体的,这些被水坑攻击的网站都包含一些相近的话题。这一系列文章没有更深入地揭露威胁参与者,但是该恶意组织能够在两年内不断更新漏洞利用链,这表明该组织拥有大量资源,并且有比较高级的技术能力。在感染后,恶意软件通常不会被受害者感知到,将会每隔60秒对其C2进行一次Ping操作。恶意软件可以访问系统中的各种文件,同时还能够追踪GPS定位。对于攻击者来说,没有任何方法能防止用户重新启动计算机,但是从受害者帐户中窃取登录Cookie的功能可以继续为攻击者提供访问此数据的权限。
在Google的博客文章发布后不久,Volexity发布了有关攻击中用于分发恶意软件的水坑网站的更多详细信息,指出“针对维吾尔族人民的战略性网络入侵”。Citizen Lab发布了针对Android的研究成果,指出在2018年11月到2019年5月之间,位于中国西藏某组织的高级成员是此次攻击的目标人物(被Citizen Lab称为POISON CARP),攻击者冒充非政府组织工人、记者或其他假冒身份,利用WhatsApp中的恶意链接来实现攻击。这些链接指向能利用网络浏览器漏洞的代码,这些漏洞可以在iOS和Android设备上安装间谍软件,有时还可以在OAuth网络钓鱼页面上安装间谍软件。
在2019年9月上旬,0-day经纪公司Zerodium表示,Android漏洞现在已经比iOS漏洞更为抢手,漏洞利用者现在希望为Android 0-day漏洞支付250万美元。这一金额,与该公司曾经为远程iOS越狱漏洞所支付的200万美元的最高奖金有了明显的增长。相比之下,Zerodium还减少了对Apple一键漏洞利用的支出。同一天,在Android媒体驱动程序v412(Video4Linux)驱动中发现了一个高危的0-day漏洞。Google在2019年9月的安全更新中未包含此漏洞,该漏洞可能导致特权升级。在几天后,发现了一个Android漏洞,使超过10亿的三星、华为、LG和索尼智能手机易受攻击,攻击者可以利用短信息完全访问受感染设备上的电子邮件。
与俄罗斯相关的恶意活动
Trula(又称为Venomous Bear、Uroburos和Waterbug)对其工具集进行了重大更新。在调查中亚地区的恶意活动时,我们发现了一个新型后门,我们认为该后门很有可能是这一APT组织开发的。这个恶意软件名为Tunnus,是基于.NET的后门程序,能够在受感染的系统上运行命令或执行文件操作,并将结果发送到C2。截至目前,C2基础结构都是使用具有漏洞的WordPress易受攻击站点创建的。根据我们的遥测,Tunnus的恶意活动开始于2019年3月,在我们7月发布内部报告时该恶意软件仍然保持活跃。
Trula还将其臭名昭著的JavaScript KopiLuwak恶意软件包装在一个名为Topinambour的投放工具中,这是一个新的.NET文件,该组织正在使用新文件通过受感染的安装程序包分发和投放KopiLuwak,这些安装程序用于VPN等合法软件程序。其中的一些修改是为了帮助Turla逃避检测。例如,C2基础结构使用的IP地址似乎是模仿普通的LAN地址。该恶意软件几乎完全是“无文件的”,感染的最后阶段是一个用于远程管理的加密木马,会修改用户计算机的注册表,以保证恶意软件在准备就绪时可以访问。还有两个类似于KopiLuwak的木马,分别是使用.NET的RocketMan,以及使用PowerShell的MiamiBeach木马,它们用于网络间谍活动。我们认为,威胁行为者会部署这些版本,并使用能够检测KopiLuwak的安全软件来保护其目标。这三个植入工具都可以对目标进行指纹识别,收集有关操作系统和网络适配器的信息,窃取文件,同时还能够下载并执行其他恶意软件。MiamiBeach还具有截图功能。
9月,Zebrocy恶意软件影响着整个欧洲,涉及多个北约国家及合作伙伴,该恶意软件尝试获取电子邮件通信、凭据和敏感文件的访问权限。这一次的恶意活动类似于以往的Zebrocy恶意活动,在电子邮件中使用了与目标相关的内容,ZIP附件中包含无害的文档,以及使用修改后的图表和相同文件名的可执行文件。该恶意组织还利用远程Word模板从合法的Dropbox文件共享站点提取内容。在这次攻击者,Zebrocy使用Go语言的后门和Nimcy变种,针对欧洲和亚洲的国防及外交目标发动攻击。
与中国相关的恶意活动
活跃了几年之久的HoneyMyte(又称为Temp.Hex、Mustang Panda)在过去几年中采用了不同的技术来实现攻击,并且专注于各种目标配置文件。在从2018年年中开始的早期攻击中,该威胁参与者部署了PlugX植入工具以及类似于CobaltStrike的多阶段PowerShell脚本。该恶意活动针对缅甸、蒙古、埃塞俄比亚、越南和孟加拉国的政府实体。近期,我们发现了HoneyMyte的一组新恶意活动,这些恶意活动依赖于几种工具的攻击,具体包括:(1)PlugX植入工具;(2)一个多阶段工具包,类似于CobaltStrike多阶段工具和无阶段投放工具,其中包含PowerShell、VB脚本、.NET可执行文件和Cookie窃取工具等;(3)利用DNS劫持恶意软件进行ARP投毒,通过HTTP向中毒的主机提供Flash更新和Microsoft更新,以进行横向移动;(4)各种系统和网络实用程序。考虑到该恶意活动中,以缅甸自然资源管理相关的政府组织和非洲的主要大陆组织为目标,我们认为HoneyMyte的主要目标就是收集地缘政治和经济情报。尽管军事组织的目标是孟加拉国,但个别目标可能与该地区的地缘政治活动有关。
在2019年初,我们在中亚和中东都发现LuckyMouse恶意活动趋势有明显增长。对于这些新的活动,攻击者似乎将重点放在电信运营商、大学和政府上。其感染媒介是直接攻击、鱼叉式网络钓鱼以及潜在的水坑攻击。LuckyMouse并没有改变其任何TTP(战术、技术和程序),而是继续依靠自己的工具在受害者的网络找到立足点。新的恶意活动将HTTPBrowser作为第一阶段,然后将Soldier Trojan作为第二阶段。攻击者对其基础结构进行了调整,目前他们依靠IPv4地址作为其C2,而不再是域名,这一调整可以视为是攻击者在尝试限制其相关性。在9月份我们发布有关LuckyMouse的内部报告时,该攻击者仍然在持续活动。
我们在2018年1月的内部报告《ShaggyPanther:亚太地区华语恶意活动汇总》中介绍过ShaggyPanther,这是一套曾针对台湾和马来西亚发动攻击的恶意软件和入侵组件。相关组件和恶意活动的历史可以追溯到十年前,类似的代码可以追溯到2004年,其编译时间戳一直存在。此后,我们多次检测到ShaggyPanther的恶意活动,最近一次发现是在7月份,在一台位于印度尼西亚的服务器上发现,与此同时,3月份时我们还在叙利亚发现该恶意活动的存在。经过比较,我们发现在2018年和2019年的后门代码中包含了新的混淆层,并且不再维护明文C2字符串。目前,我们已经确定了服务器的初始感染媒介,是一个在多个中国恶意组织之间共享的WebShell——SinoChoper/ChinaChopper。SinoChoper不仅可以用于识别主机、开启后门,还可以窃取电子邮件存档或进行其他恶意活动。尽管并非所有事件都能追溯到服务器端的漏洞利用,但我们确实发现了这两种情况,并获得了有关其分阶段安装过程的信息。在2019年,我们观察到ShaggyPanther针对Windows服务器发动攻击。
中东地区
在8月1日,Dragos发布了一篇名为《石油和天然气威胁透视摘要》的攻击概述,其中描述了一个被称为Hexane的新威胁参与者。根据该报告,Hexane已经瞄准非洲、中东和西南亚的石油、天然气和电信行业。Dragos称他们已经在2019年5月确定了该组织,并将其与OilRig和CHRYSENE关联。尽管尚未公开发布IoC,但一些研究人员已经在Twitter中共享相关哈希值,以回应Dragos的情况披露。我们的分析表明,基于TTP进行分析,Hexane与OilRig实际上仅稍有相似,Dragos也在研究中提到了这一点。如果事实如此,近期来自Lab Dookhtegan和GreenLeakers的泄密事件就该组织的出现提供了一些假设。由于暴露和攻击方法的泄露,OilRig可能只是更换了其工具,并保持继续运行。这意味着,他们会对该恶意组织的公开披露开展灵活且迅速的响应。或者,有可能是一些目标相似的新型组织使用了一些OilRig的TTP。Hexane的恶意活动似乎从2018年9月左右开始,第二波恶意活动在2019年5月开始。在所有攻击过程中,所使用的工具都是由具备经验的开发人员开发而成的。投放工具的不断发展似乎表明,在反复试验的过程中,攻击者正在测试如何更好地逃避检测。我们之所以根据TTP判断该恶意活动与此前的OliRig恶意活动相关联,是根据前文所描述的反复试验过程、通过鱼叉式网络钓鱼分发简单的投放工具,以及基于DNS的C2渗透。
Symantec在2019年9月18日披露,TortoiseShell是一个与未知APT参与者相关的新型恶意活动集群。Symantec声称恶意活动最初开始在2018年7月,并且一年后仍然在活动。Kaspersky还发现了不同的TortoiseShell组件,最早可以追溯到2018年1月。根据我们的遥测,迄今为止,所有的攻击都发生在沙特阿拉伯。Symantec的报告还证实,发现的大多数实际感染都在相同的位置。攻击者部署了Syskit后门,然后将其用于侦察环节。部署在受害主机上的其他工具可以收集文件,并使用RAR进行压缩,以尝试收集更多的系统信息。在其中一个案例中,攻击者部署了TightVNC远程管理工具来获取对计算机的完全访问权限。Symantec在这些受害者计算机中提取到了OliRig恶意工具的痕迹,我们无法证明这一点。此外,他们还在文章中提到了通过供应链攻击进行分发的可能性。我们看到,该恶意软件是通过伪造的应用程序实现分发,时间大约在报告发布前的2个月。我们发布报告时,正值沙特阿拉伯的国家假期,但在报告发布后不久,这个网站就被激活了。然而,我们没有发现任何可能产生威胁的供应链攻击应用程序。
东南亚和朝鲜半岛
最近,我们发现了伪装成移动通信程序、与加密货币应用程序相关的新型Android恶意软件。这种新型恶意软件与KONNI之间存在若干联系,KONNI是Windows环境下的一种恶意软件,曾经用于攻击人权组织和对朝鲜半岛事务感兴趣的个人或组织。KONNI此前也曾经陈对加密货币进行攻击。被感染的应用程序不会从特定的交易应用程序中窃取加密货币或篡改钱包地址,该恶意软件具有完备的功能,可以控制受感染的Android设备,并使用这些功能来窃取个人加密货币。我们与本地CERT紧密合作,以封停攻击者的服务器,从而使我们有机会对其进行调查。
近期,我们跟踪了BlueNoroff的新型恶意活动。特别要提出的是,我们在缅甸发现了一家受到该恶意活动侵害的银行,并与其分享了我们发现的IoC。通过这样的合作,我们可以获得有关攻击者如何横向移动以访问高价值主机的有效信息,例如:使用SWIFT的银行系统工程师的主机。攻击者使用公开的登录凭据转储程序和自制的PowerShell脚本进行横向移动。BlueNoroff还采用形式不太常见的新型恶意软件,可能会影响我们的分析进度。根据命令行参数的不同,这个恶意软件可以作为被动后门、主动后门或隧道工具运行。我们相信,该恶意组织会根据不同的方式运行此工具。此外,我们发现该威胁参与者攻击土耳其的目标时,使用了另一种PowerShell脚本。该PowerShell脚本具有与此前相似的功能,但BlueNoroff不断对其进行修改,以逃避检测。
Kaspersky观察到了他们最近一次的恶意活动,该活动利用了FireEye称为DADJOKE的恶意软件。该恶意软件在2019年1月首次在野外使用,此后一直不断发展。自2019年1月以来,我们仅观察到该恶意软件在较少的恶意活动中使用,所有攻击都针对东南亚地区的政府、军事和外交实体。最近的恶意活动在8月29日开展,似乎只针对为军事组织工作的少数人员。
Andariel APT组织被认为是Lazarus的一个下属组织,最近一次是在2017年被韩国金融安全研究所(FSI)报告。该威胁参与者一直专注于韩国的地缘政治间谍活动和金融情报。我们已经发布了有关该恶意组织的几份内部情报报告。近期,我们观察到该威胁参与者开展了新的活动,针对易受攻击的WebLogic服务器构建新的C2基础架构,在我们分析的示例中为CVE-2017-10271。在成功突破后,攻击者植入了带有韩国安全软件供应商合法签名的恶意软件。由于韩国CERT迅速反应,这一证书很快被撤销。该恶意软件是一种称为ApolloZeus的新型后门,由具有复杂配置数据的Shellcode包装程序启动。该后门使用相对较大的Shellcode,以使分析过程变得非常困难。此外,它还实现了一组功能,可以执行最终的Payload。该恶意软件的发现,让我们找到了几个相关的样本,以及攻击者用来分发该恶意软件的文档,从而使得我们对恶意活动有了更好的了解。实际上,我们认为该攻击是长期恶意活动中的前期准备阶段,可能表明攻击者使用我们新发现的工具替换掉恶意软件框架。
其他值得关注的发现
在著名的Shadow Brokers泄漏“Lost in Translation”中,包含一个值得关注的Python脚本sigs.py,该脚本包含许多功能来检查系统是否已经被另一个威胁参与者攻陷。每一个检查都被实现为一个函数,该函数在系统中寻找唯一的签名,例如:具有唯一名称或注册表路径的文件。尽管某些检查为空,但sigs.py中还是列出了44个条目,其中许多都与尚未公开披露的未知APT相关。在2018年,我们确定了sigs.py文件中包含的第27个函数的APT组织,将其称为DarkUniverse。根据其中唯一的代码重叠,我们认为DarkUniverse可能与ItaDuke恶意活动相关联。其主要组件是一个相当简单的DLL,仅具有一个导出的功能,该功能实现了持久性、恶意软件完整性、C2通信以及对其他模块的控制。我们在西亚、非洲东北部发现了大约20名受害者,其中包括医疗机构、原子能机构、军事组织和电信公司。
自2019年年初以来,我们已经观察到用于Android的新型RCS(远程控制系统)植入工具的运行情况。RCS为不同的客户使用不同的水印,这使得我们能够在野外关联恶意活动,以获取该恶意软件是否仍然在使用的全局信息,包括最近的示例。我们发现,2月份在埃塞俄比亚使用了RCS,而在摩洛哥也检测到带有相同水印的其他样品。所使用的部署方法取决于威胁参与者,最常见的方法包括使用即时通信服务(Telegram和WhatsApp)将带有RCS的合法后门应用程序直接发送到目标。
总结
为了逃避检测,威胁参与者正在不断更新其工具集。在本季度,我们已经在Turla的Tunnus后门和Topinambour投放工具的开发过程中清楚地看到这一点。
但是,当观察到一个新型恶意活动时,我们并不能立即清楚所使用的工具是由原有的威胁参与者对其工具修改而来,还是由现有的APT组织开发的全新工具。以Hexane为例,目前尚不清楚这是OilRig的一项新开发成果,还是由位于中东、非洲和亚洲西南部地区具有相似目标的新恶意组织使用OilRig的TTP开展的攻击。
在第二季度的报告中,我们首次注意到,以韩国为中心的APT恶意活动继续主导着东南亚地区的恶意活动。
尽管Zerodium在iOS漏洞方面的支出低于Android漏洞,但显然这些移动设备漏洞仍然在以很高的价格出售中。我们对RCS植入程序在Android上的持续使用进行了研究,同时Google和Citizen Lab对多个iOS 0-day漏洞利用也进行了研究,上述研究都共同揭示了一个事实——移动平台现在已经成为APT攻击的新目标。
与往常一样,我们会在最后说明,我们的报告是对已知威胁形势的分析。但是,需要再次强调的是,尽管我们不断努力改进,但仍然会有一些复杂的攻击未被我们发现。
参考来源:https://securelist.com/apt-trends-report-q3-2019/94530/
声明:本文来自嘶吼专业版,版权归作者所有。文章内容仅代表作者独立观点,不代表士冗科技立场,转载目的在于传递更多信息。如有侵权,请联系 service@expshell.com。