接上篇《2021年第二季度全球APT趋势报告(一)》
中东地区的 APT主题活动
2020年底,一个自称“阴影”(BlackShadow)的黑客联盟竟向非洲一家车险公司敲诈勒索使用价值100万美金的BTC,不然就发布该企业被泄露的数据信息。从那时起,该机构就一战成名,以后该机构就进攻了非洲的另一家企业,并在 Telegram 上推送了很多包括顾客有关信息的文档。人物角色,科学研究员工在跟踪研究中看到了该机构与众不同的 .NET 侧门的好多个样版,这种样版之前科学研究工作人员不清楚,在其中一个近期在沙特被发觉。根据以科学研究员工在这种样版中留意到的新基础设施建设指标值为核心,科学研究工作人员可以寻找到一个相应的 C2 网络服务器,该服务器与故意 Android 嵌入程序流程联络并展示出与该组织活动的联络。
科学研究工作人员以前报导了对于中东地区总体目标的 WildPressure 主题活动,追踪剖析后,科学研究工作人员找到她们的 C 木马病毒的更新版本 (1.6.1)、具备同样版本号的相对应 VBScript 组合和一组全新升级的控制模块,包含一个 orchestrator (MySQL 拷贝拓扑结构管理方法和数据分析工具)和三个软件。这确认了科研工作人员以前的假定,即根据C2通讯协议中包括“手机客户端”计算机语言的一个字段名,除开c 以外也有大量的“最终环节”。WildPressure应用的另一种语言表达是Python。Windows的PyInstaller控制模块包括一个名叫“Guard”的脚本制作。或许最有趣的发现是,这一木马程序是对于Windows和macOS电脑操作系统开发设计的。在本例中,硬编码版本号是2.2.1。在网络攻击应用的任何计算机语言中,其编号设计风格、总体设计方案和 C2 通讯协议都十分可鉴别。 WildPressure 应用的木马程序在版本号和应用的计算机语言层面仍在积极主动开发设计中。虽然科学研究工作人员没法将 WildPressure 的活动内容与别的网络攻击联络起來,但科研工作人员的确在 BlackShadow 应用的 TTP(战略、技术性和程序流程)中看到了一些共同之处,BlackShadow 在同一地域也很活跃性。殊不知,科学研究工作人员觉得这种共同之处的直接证据太少,表明不了什么问题。
科学研究工作人员发觉了一个已经开展的主题活动,科学研究工作人员觉得这是一个名叫WIRTE的网络攻击,该主题活动从 2019 年末逐渐,对于好几个地域,关键是中东地区。 WIRTE 是一个不为人知的网络攻击,于 2019 年初次公布谈及,科学研究工作人员猜疑它与 Gaza Cyber机构有关系,据统计,该机构是一个具备政冶动因的阿语环境的网络诈骗机构。在2月份,网络攻击应用VBS/VBA嵌入程序流程,开展MS Excel 释放出来,网络攻击应用掩藏的excel表和 VBA 宏来释放出来她们的第一阶段嵌入程序流程——VBS 脚本制作。 VBS 脚本的首要功用是搜集系统信息并实行网络攻击推送的随意编码。虽然科学研究工作人员近期新闻报道了一种用以刑侦和研究主题活动的新的 Muddywater 第一阶段 VBS 嵌入程序流程,但这种故意进攻程序流程具备略有不同的 TTP 和更普遍的总体目标。目前为止,科学研究工作人员纪录的受害人集中化在中东地区和该地域之外的其它一些我国。虽然各个领域都备受危害,但关键主要是政府部门和外交机构;殊不知,科学研究工作人员也注意到对于法律事务所的与众不同的进攻。
GoldenJackal 是科学研究工作人员近期在跟踪研究中发觉的主题活动群集的名字,自 2019 年 11 月至今一直处在激活状态。此故意进攻程序流程由一组根据 .NET 的嵌入程序流程构成,致力于操纵被害机器设备并盗取一些来源于她们的文档,这说明该网络攻击的首要动因是情报活动。除此之外,在与中东地区外交机构有关的一组受到限制机器设备中看到了嵌入程序流程。对以上木马程序及其随附的检验日志的剖析勾勒了一个有实力且适当隐敝的网络攻击。这可以根据科研工作人员碰到的极少数机构中的潜在性网络攻击所获取的取得成功出发点获得确认,与此同时持续保持低签字和朦胧的踪迹。
东南亚地区及朝鲜韩国的 APT主题活动
ScarCruft(也称之为Reaper和123机构)是东亚地区最活泼的APT机构之一。据诺顿杀毒软件试验室称,该机构还一直看准世界各国的外交政策精英团队。ScarCruft的受害人包含我国、印度的、韩、科威特和缅甸的政府部门。科学研究工作人员观查到 ScarCruft 在 1 月侵入了一个与中国朝鲜有关的媒体网址,进攻一直维持到 3 月。在此次进攻中,网络攻击应用了与Powerfall行为同样的系统漏洞链CVE-2020-1380和CVE-2020-0986。依据漏洞检测编码和进攻计划方案特点,科学研究工作人员猜疑Operation PowerFall与ScarCruft机构有联络。漏洞检测链包括 shellcode 实行的一些环节,最后在存储空间中布署 Windows 可实行负载。科学研究工作人员发觉了来源于韩和马来西亚的几位受害人。除开这类水坑攻击以外,该机构还采用了掩藏其有效载荷的 Windows 可实行木马程序。这类被称作“ATTACK-SYSTEM”的木马程序还应用多环节 shellcode 进攻来传输名叫“BlueLight”的同样最后有效载荷。BlueLight在C2中应用OneDrive,从在历史上看,ScarCruft木马程序,尤其是RokRat,运用本人云主机做为C2网络服务器,如pCloud、Box、Dropbox和Yandex。
2020 年 5 月,台湾刑事案件调查局 (CIB) 公布了有关一份对于中国台湾正当程序的进攻的公示。公告中称一名身分未知的网络攻击应用虚报的总督府电子邮箱账号推送鱼叉式钓鱼攻击电子邮箱,科学研究工作人员将其所含的木马程序称作“Palwan”。 Palwan 是一种木马程序,可以实行基本上的侧门作用及其免费下载具备额外功能模块的大量控制模块。在剖析木马程序时,科学研究工作人员发觉了另一个对于缅甸的串行主题活动。科学研究工作人员还发觉,在 2020 年 10 月和2022年 1 月,应用 Palwan 木马程序组合对缅甸进行了两波进攻。科学研究工作人员猜疑缅甸的总体目标领域与中国台湾 CIB 报告的领域类似。在调研缅甸健身运动中采用的基础设施建设时,科学研究工作人员发觉与 Dropping Elephant 主题活动重合。可是,科学研究工作人员觉得这类重合不能将此主题活动归功于 Dropping Elephant 背后的开发人员。这类被称作“Dropping Elephant”(又被称为“Chinastrats”)的网络诈骗进攻行为可以说成并不繁杂。受进攻总体目标关键为好几个同中国和我国国际问题相关的外交关系和政府部门。虽然网络攻击只配置了较旧的漏洞检测程序流程和一般的进攻专用工具,但它们或是对于好几个高級总体目标开展了进攻,包含一些西方国家政府机构。
Bluenoroff以进攻全球的金融投资公司而得名,近期该机构又加入了读取数字货币的业务流程。自 2020 年科学研究员工对 BlueNoroff 的“SnatchCrypto”主题活动追踪剖析至今,该机构散播木马程序的对策早已发生了转变。在这里主题活动中,BlueNoroff 应用了一个运用远程控制模版引入系统漏洞 CVE-2017-0199 的故意 Word 文本文档。引入的模版包括一个 Visual Basic 脚本制作,该脚本承担编解码来源于原始 Word 文本文档的下一个有效载荷并将其引入到合理合法过程中。引入的有效载荷会在受害人的设施上建立一个长久的侧门。科学研究工作人员观查到了几类类别的侧门。为了更好地进一步监管受害人,网络攻击还很有可能布署别的专用工具。 BlueNoroff 尤其因此主题活动进行了虚报的区块链技术或与数字货币有关的企业官网,以诱惑潜在性受害人并运行进攻全过程。网络攻击应用了很多鱼饵文档,在其中包括业务流程和保密协议及其业务推广方案。与先前的 SnatchCrypto 主题活动对比,BlueNoroff 机构应用了相似的侧门和 PowerShell 代理商,但变更了原始进攻媒体。额外到鱼叉式钓鱼攻击电子邮箱的 Windows 快捷方式图标文档以前是进攻的起始点,但是他们如今已被武器化的 Word 文本文档所替代。
科学研究工作人员发觉了应用修定后的进攻计划方案和对于韩各领域的自定勒索病毒的 Andariel 主题活动。 4 月,科学研究工作人员观查到一个包括韩语文件夹名称和诱惑的异常上传文件到 VirusTotal。这说明网络攻击应用了一个新的进攻计划方案和一个生疏的有效载荷。Malwarebytes近期公布了一份报告,在其中包括相关同一大家族进攻的关键技术,并将其归因于 Lazarus 机构。通过详细分析,科学研究工作人员得到了不一样的结果—— Andariel机构是这种进攻的幕后人。此主题活动中的第二阶段有效载荷与来源于 Andariel 机构的之前木马程序中间的编码重合。除开编码同质性和受害人同样外,科学研究工作人员还看到了与 Andariel 机构的别的联络。每一个网络攻击在后设计阶段与侧门 shell 互动工作中时都是有一个与众不同的习惯性。此主题活动中应用 Windows 指令以及选择项的方法与先前的 Andariel 主题活动几乎同样。自 2020 年年中至今,网络攻击一直在散播第三阶段的有效载荷,并运用故意 Word 文本文档和效仿 PDF 文本文档的文档做为进攻媒体。特别注意的是,除开最后一个侧门,科学研究工作人员还发觉一名受害人进攻了自定勒索病毒。这类勒索病毒为此次 Andariel 主题活动提高了另一个层面,该行动前对 ATM 开展过进攻。
科学研究工作人员近期在东南亚地区发觉了一次有 LuminousMoth 的网络攻击进行的规模性、相对高度活跃性的进攻。进一步剖析表明,这类故意主题活动可以上溯到 2020 年 10 月,而且在 6 月仍在进行中。 LuminousMoth 运用 DLL 侧载入来免费下载和实行 Cobalt Strike 负载。殊不知,这类进攻最妙趣横生的一部分可能是它经过进攻 USB 控制器散播到别的服务器的工作能力。除开故意 DLL 以外,网络攻击仍在一些受伤害的系統上构建了时兴应用软件 Zoom 的假冒签字,那样网络攻击就可以盗取文档;及其根据从 Chrome 电脑浏览器盗取 cookie 来浏览受害人 Gmail 对话的额外专用工具。基础设施建设关联及其分享的 TTP 暗示着 LuminousMoth 和 HoneyMyte 危害机构中间有可能存有联络,该机构以往曾对于同一地域并应用相似的专用工具进行过进攻。这类主题活动初期大部分产生在越南,但目前来看网络攻击在泰国更加活跃性,已经知道的进攻频次增多了十倍以上。这就明确提出了一个问题,即这类进攻是否针对泰国设计方案的。
科学研究工作人员近期新闻报道了 SideCopy 主题活动与根据 Android 的嵌入一起进攻 Windows 服务平台。事实上,这种嵌入程序流程是由好几个应用软件构成的,当做信息内容盗取程序流程,从受害人的设施中搜集比较敏感信息内容,例如手机联系人目录、短消息、录音通话、新闻媒体和其他类型的数据信息。接着,科学研究工作人员发觉了别的故意 Android 应用软件,在其中一些宣称是给定的信息应用软件,例如 Signal 或成人聊天服务平台。这种探索与发现的程序应用 Firebase 消息传递服务项目做为接受指令的安全通道。操作工可以操纵Dropbox或别的硬编码网络服务器是不是被用以盗取文档。
别的有意思的 APT主题活动
科学研究工作人员拓展了对于CVE-2021-1732系统漏洞的科学研究,该系统漏洞最开始由DBAPPSecurity Threat Intelligence Center发觉,由Bitter APT工作组应用,科学研究工作人员发觉了另一个很有可能在亚洲地区应用的零日系统漏洞。有意思的是,该缺陷是做为一个独立架构的一部分被发现的,与CVE-2021-1732及其别的以前被修复过的漏洞一起被发现的。研究人员十分确信,这一架构与Bitter APT彻底不相干,被不一样的网络攻击应用过。进一步分析表明,最少从2020年11月起,这类权利更新(EoP)漏洞就会有很有可能在野外应用。发现后,研究人员在2月份向微软公司汇报了这一新的漏洞。微软公司通过确定,将其取名为 CVE-2021-28310。
漏洞中留下来的各种各样印痕和珍贵文物代表着研究人员也十分确信CVE-2021-1732和CVE-2021-28310是由“Moses”漏洞开发设计人员建立的。“Moses”好像是一名漏洞运用开发设计人员,他依据以往的别的漏洞运用状况,向好几个网络攻击给予漏洞运用。目前为止,研究人员早已确定最少有两个已经知道的网络攻击运用了最开始由 Moses 开发设计的漏洞:Bitter APT 和 Dark Hotel。根据相似的标注和产品工件,及其从第三方私底下得到的信息内容,研究人员觉得以往2年在野外最少观测到的有六个漏洞源于“ Moses ”。尽管 EoP 漏洞是在野外发现的,但研究人员现阶段不能将其立即与现阶段已经追踪的一切已经知道网络攻击联络起來。 EoP 漏洞运用很有可能与其它电脑浏览器漏洞运用连接在一起,以躲避沙盒并得到系统软件级管理权限以开展进一步浏览。遗憾的是,研究人员没法捕获详细的漏洞运用链,因而研究人员不清楚该漏洞运用是不是与其它电脑浏览器零日漏洞一起应用,或是与运用已经知道已修复漏洞的漏洞运用紧密结合。
在 ProxyLogon 和别的 Exchange 漏洞被曝出后,研究人员发现APT 网络攻击对 Exchange 网络服务器的进攻猛增,她们留意到了一个与众不同的主题活动群集,这造成了研究人员的留意,由于最少从 2020 年 12 月起,它后面的网络攻击好像一直在进攻Exchange 网络服务器,并且采用的工具箱全是新开发设计的。在3月份,几轮对于Exchange网络服务器的进攻被曝出,所表现出去的活动内容与研究人员观查到的同样。一部分叙述了研究人员观查到的同样主题活动群集。据ESET报导,在其中一项评定表明,该主题活动后面的网络攻击在其公布发表以前就己经取得了交易中心的漏洞,这与研究人员上年对其初期运动的观查相符合。即便如此,没有一个公共性帐户叙述了完善的感柒链,及其做为该机构行为一部分的木马程序布署的中后期环节。
4 月 15 日,Codecov 公布透露其 Bash Uploader 脚本制作已被泄漏。 Bash Uploader 脚本制作由 Codecov 公布散播,致力于搜集相关客户实行自然环境的信息内容,搜集代码覆盖率汇报,并将其发送至 Codecov 基础设施建设。因而,这类脚本制作侵入合理地产生了供应链管理进攻。 Bash 提交程序流程脚本制作通常在开发设计和接口测试中做为受信赖的資源实行(包含做为自动化技术搭建流程的一部分,例如持续交付或开发设计管路);它的侵入很有可能会造成故意浏览基础设施建设或账号商业秘密,及其编码储存库和源码。尽管研究人员还没法确定故意脚本制作布署、查找相关受进攻方向的一切信息内容或鉴别进一步有关的故意专用工具,但研究人员可以搜集受进攻 Bash 提交程序流程脚本制作的一个样版,并鉴别一些很有可能关系的附加故意网络服务器。
在微软公司4 月发表了自动更新后,一些异常二进制文件文档引发了研究人员的留意,他们装扮成“2021年4月安全补丁程序安装”。她们应用合理的数字签名开展签字,给予 Cobalt Strike 信标控制模块。这种控制模块很可能是用盗取的数据证书签名的。这种 Cobalt Strike 信标嵌入程序流程配备有硬编码的 C2,“code.microsoft.com”。现阶段研究人员可以确定微软公司的基础设施建设沒有遭受进攻。实际上,没经认证的一方接手了悬在空中的子域名“code.microsoft.com”并将其配备为分析到她们的 Cobalt Strike 服务器,大概在 4 月 15 日设定。该域代管了 Cobalt Strike 信标有效载荷,应用特殊且唯一的客户服务咨询于 HTTP 手机客户端。
4 月 14 日至 15 日,诺顿杀毒软件检验到一波对于好几家企业的相对高度目的性进攻,全部这种进攻都使用了 Google Chrome 和 Microsoft Windows 零日漏洞链。尽管研究人员现阶段还不能在 Chrome 网页浏览器中查找用以远程控制执行命令 (RCE) 的漏洞,但研究人员可以寻找并剖析用以逃出沙盒并获得系统软件授权的管理权限提高 (EoP) 漏洞。 EoP 漏洞运用通过调整,可以对于 Windows 10 的全新和最明显的版本号(17763 – RS5, 18362 – 19H1, 18363 – 19H2, 19041 – 20H1, 19042 – 20H2),它运用 Microsoft Windows 电脑操作系统核心。 4 月 20 日,研究人员向 Microsoft 汇报了这种漏洞,她们将 CVE-2021-31955 分派给信息披露漏洞,将 CVE-2021-31956 分配给 EoP 漏洞。这两个漏洞都是在 6 月 8 日开展了修补。漏洞运用链尝试根据释放出来程序流程在系统软件中安裝了木马程序。恶意程序以服务程序的方式运行并载入有效载荷,这是一个“远程控制shell”式的侧门,它相反联接到C2获得指令。到现在为止,研究人员都还没寻找一切与已经知道网络攻击的联络或重合。因而,研究人员临时将这一主题活动群集称之为PuzzleMaker。
汇总
根据剖析,网络攻击的 TTP 一直在开拓创新,除开比较严重依靠社会工程外,她们还升级了工具箱并扩大了他俩的运动范畴。
文中翻譯自:https://securelist.com/apt-trends-report-q2-2021/103517/