2021年第二季度全球APT趨勢(shì)報(bào)告（二）

作者：lucywang 2021-08-11 12:30:17

四年多來(lái)，卡巴斯基的全球研究和分析團(tuán)隊(duì)(GReAT)一直在發(fā)布高級(jí)持續(xù)威脅(APT)活動(dòng)的季度報(bào)告。

接上篇《2021年第二季度全球APT趨勢(shì)報(bào)告(一)》

中東地區(qū)的 APT活動(dòng)

2020年底，一個(gè)自稱“黑影”(BlackShadow)的黑客組織竟向以色列一家保險(xiǎn)公司勒索價(jià)值100萬(wàn)美元的比特幣，否則就公布該公司被泄漏的數(shù)據(jù)。從那以后，該組織就一戰(zhàn)成名，之后該組織就攻擊了以色列的另一家公司，并在 Telegram 上發(fā)布了大量包含客戶相關(guān)信息的文件。在此之后，研究人員在追蹤分析中發(fā)現(xiàn)了該組織獨(dú)特的 .NET 后門的幾個(gè)樣本，這些樣本以前研究人員不知道，其中一個(gè)最近在沙特阿拉伯被發(fā)現(xiàn)。通過(guò)以研究人員在這些樣本中觀察到的新基礎(chǔ)設(shè)施指標(biāo)為中心，研究人員能夠找到一個(gè)特定的 C2 服務(wù)器，該服務(wù)器與惡意 Android 植入程序聯(lián)系并顯示出與該組織活動(dòng)的聯(lián)系。

研究人員之前報(bào)道了針對(duì)中東目標(biāo)的 WildPressure 活動(dòng)，跟蹤分析后，研究人員找到了他們的 C++ 木馬的更新版本 (1.6.1)、具有相同版本的相應(yīng) VBScript 變體和一組全新的模塊，包括一個(gè) orchestrator (MySQL 復(fù)制拓?fù)涔芾砗涂梢暬ぞ?和三個(gè)插件。這證實(shí)了研究人員之前的假設(shè)，即基于C2通信協(xié)議中包含“客戶端”編程語(yǔ)言的一個(gè)字段，除了c++之外還有更多的“最后階段”。WildPressure使用的另一種語(yǔ)言是Python。Windows的PyInstaller模塊包含一個(gè)名為“Guard”的腳本。也許最有趣的發(fā)現(xiàn)是，這個(gè)惡意程序是針對(duì)Windows和macOS操作系統(tǒng)開發(fā)的。在本例中，硬編碼版本是2.2.1。在攻擊者使用的所有編程語(yǔ)言中，其編碼風(fēng)格、整體設(shè)計(jì)和 C2 通信協(xié)議都非常可識(shí)別。 WildPressure 使用的惡意程序在版本和使用的編程語(yǔ)言方面仍在積極開發(fā)中。盡管研究人員無(wú)法將 WildPressure 的活動(dòng)與其他攻擊者聯(lián)系起來(lái)，但研究人員確實(shí)在 BlackShadow 使用的 TTP(戰(zhàn)術(shù)、技術(shù)和程序)中發(fā)現(xiàn)了某些相似之處，BlackShadow 在同一地區(qū)也很活躍。然而，研究人員認(rèn)為這些相似之處的證據(jù)太少，說(shuō)明不了什么問(wèn)題。

研究人員發(fā)現(xiàn)了一個(gè)正在進(jìn)行的活動(dòng)，研究人員認(rèn)為這是一個(gè)名為WIRTE的攻擊者，該活動(dòng)從 2019 年底開始，針對(duì)多個(gè)地區(qū)，重點(diǎn)是中東。 WIRTE 是一個(gè)鮮為人知的攻擊者，于 2019 年首次公開提及，研究人員懷疑它與 Gaza Cyber組織有關(guān)系，據(jù)了解，該組織是一個(gè)具有政治動(dòng)機(jī)的阿拉伯語(yǔ)背景的網(wǎng)絡(luò)犯罪組織。在2月份，攻擊者使用VBS/VBA植入程序，進(jìn)行MS Excel 釋放，攻擊者使用隱藏的電子表格和 VBA 宏來(lái)釋放他們的第一階段植入程序——VBS 腳本。 VBS 腳本的主要功能是收集系統(tǒng)信息并執(zhí)行攻擊者發(fā)送的任意代碼。盡管研究人員最近報(bào)道了一種用于偵察和分析活動(dòng)的新的 Muddywater 第一階段 VBS 植入程序，但這些惡意攻擊程序具有略有不同的 TTP 和更廣泛的目標(biāo)。迄今為止，研究人員記錄的受害者集中在中東和該地區(qū)以外的其他一些國(guó)家。盡管各行各業(yè)都受到影響，但重點(diǎn)主要是政府和外交機(jī)構(gòu);然而，研究人員也注意到針對(duì)律師事務(wù)所的不同尋常的攻擊。

GoldenJackal 是研究人員最近在追蹤分析中發(fā)現(xiàn)的活動(dòng)集群的名稱，自 2019 年 11 月以來(lái)一直處于活動(dòng)狀態(tài)。此惡意攻擊程序由一組基于 .NET 的植入程序組成，旨在控制受害設(shè)備并竊取某些來(lái)自他們的文件，這表明該攻擊者的主要?jiǎng)訖C(jī)是間諜活動(dòng)。此外，在與中東外交機(jī)構(gòu)相關(guān)的一組受限設(shè)備中發(fā)現(xiàn)了植入程序。對(duì)上述惡意程序以及隨附的檢測(cè)日志的分析描繪了一個(gè)有能力且適度隱蔽的攻擊者。這可以通過(guò)研究人員遇到的少數(shù)組織中的潛在攻擊者所獲得的成功立足點(diǎn)得到證實(shí)，同時(shí)始終保持低簽名和模糊的足跡。

東南亞及朝鮮半島的 APT活動(dòng)

ScarCruft(也稱為Reaper和123組織)是亞洲地區(qū)最活躍的APT組織之一。據(jù)卡巴斯基實(shí)驗(yàn)室稱，該組織還一直瞄準(zhǔn)世界各地的外交團(tuán)隊(duì)。ScarCruft的受害者包括中國(guó)、印度、韓國(guó)、科威特和尼泊爾的政府機(jī)構(gòu)。研究人員觀察到 ScarCruft 在 1 月份入侵了一個(gè)與朝鮮相關(guān)的新聞媒體網(wǎng)站，攻擊一直持續(xù)到 3 月份。在這次攻擊中，攻擊者使用了與Powerfall行動(dòng)相同的漏洞鏈CVE-2020-1380和CVE-2020-0986。根據(jù)漏洞利用代碼和攻擊方案特征，研究人員懷疑Operation PowerFall與ScarCruft組織有聯(lián)系。漏洞利用鏈包含 shellcode 執(zhí)行的幾個(gè)階段，最終在內(nèi)存中部署 Windows 可執(zhí)行載荷。研究人員發(fā)現(xiàn)了來(lái)自韓國(guó)和新加坡的幾名受害者。除了這種水坑攻擊之外，該組織還使用了隱藏其有效載荷的 Windows 可執(zhí)行惡意程序。這種被稱為“ATTACK-SYSTEM”的惡意程序還使用多階段 shellcode 攻擊來(lái)傳送名為“BlueLight”的相同最終有效載荷。BlueLight在C2中使用OneDrive，從歷史上看，ScarCruft惡意程序，尤其是RokRat，利用個(gè)人云服務(wù)器作為C2服務(wù)器，如pCloud、Box、Dropbox和Yandex。

2020 年 5 月，中國(guó)臺(tái)灣刑事調(diào)查局 (CIB) 發(fā)布了關(guān)于一份針對(duì)臺(tái)灣立法者的攻擊的公告。公告中稱一名身份不明的攻擊者使用虛假的總統(tǒng)府電子郵件帳戶發(fā)送魚叉式網(wǎng)絡(luò)釣魚電子郵件，研究人員將其所含的惡意程序稱之為“Palwan”。 Palwan 是一種惡意程序，能夠執(zhí)行基本的后門功能以及下載具有附加功能的更多模塊。在分析惡意程序時(shí)，研究人員發(fā)現(xiàn)了另一個(gè)針對(duì)尼泊爾的并行活動(dòng)。研究人員還發(fā)現(xiàn)，在 2020 年 10 月和今年 1 月，使用 Palwan 惡意程序變體對(duì)尼泊爾發(fā)起了兩波攻擊。研究人員懷疑尼泊爾的目標(biāo)行業(yè)與臺(tái)灣 CIB 報(bào)告的行業(yè)相似。在調(diào)查尼泊爾運(yùn)動(dòng)中使用的基礎(chǔ)設(shè)施時(shí)，研究人員發(fā)現(xiàn)與 Dropping Elephant 活動(dòng)重疊。但是，研究人員認(rèn)為這種重疊不足以將此活動(dòng)歸因于 Dropping Elephant 幕后的開發(fā)者。這種被稱為“Dropping Elephant”(又被稱為“Chinastrats”)的網(wǎng)絡(luò)犯罪攻擊行動(dòng)可以說(shuō)是并不復(fù)雜。受攻擊目標(biāo)主要為多個(gè)同中國(guó)和中國(guó)國(guó)際事務(wù)有關(guān)的外交和政府機(jī)構(gòu)。盡管攻擊者只配備了較舊的漏洞利用程序和普通的攻擊工具，但他們還是針對(duì)多個(gè)高級(jí)目標(biāo)進(jìn)行了攻擊，包括一些西方國(guó)家機(jī)構(gòu)。

Bluenoroff以攻擊全球的金融公司而出名，最近該組織又添加了調(diào)取加密貨幣的業(yè)務(wù)。自 2020 年研究人員對(duì) BlueNoroff 的“SnatchCrypto”活動(dòng)跟蹤分析以來(lái)，該組織傳播惡意程序的策略已經(jīng)發(fā)生了變化。在此活動(dòng)中，BlueNoroff 使用了一個(gè)利用遠(yuǎn)程模板注入漏洞 CVE-2017-0199 的惡意 Word 文檔。注入的模板包含一個(gè) Visual Basic 腳本，該腳本負(fù)責(zé)解碼來(lái)自初始 Word 文檔的下一個(gè)有效載荷并將其注入到合法進(jìn)程中。注入的有效載荷會(huì)在受害者的設(shè)備上創(chuàng)建一個(gè)持久的后門。研究人員觀察到了幾種類型的后門。為了進(jìn)一步監(jiān)控受害者，攻擊者還可能部署其他工具。 BlueNoroff 特別為此活動(dòng)建立了虛假的區(qū)塊鏈或與加密貨幣相關(guān)的公司網(wǎng)站，以引誘潛在受害者并啟動(dòng)攻擊過(guò)程。攻擊者使用了大量誘餌文件，其中包含業(yè)務(wù)和保密協(xié)議以及業(yè)務(wù)介紹。與之前的 SnatchCrypto 活動(dòng)相比，BlueNoroff 組織使用了類似的后門和 PowerShell 代理，但更改了初始攻擊媒介。附加到魚叉式網(wǎng)絡(luò)釣魚電子郵件的 Windows 快捷方式文件曾經(jīng)是攻擊的起點(diǎn)，不過(guò)它們現(xiàn)在已被武器化的 Word 文檔所取代。

研究人員發(fā)現(xiàn)了使用修訂后的攻擊方案和針對(duì)韓國(guó)各行業(yè)的自定義勒索軟件的 Andariel 活動(dòng)。 4 月，研究人員觀察到一個(gè)包含韓文文件名和誘餌的可疑文件上傳到 VirusTotal。這表明攻擊者使用了一個(gè)新的攻擊方案和一個(gè)陌生的有效載荷。Malwarebytes最近發(fā)布了一份報(bào)告，其中包含有關(guān)同一家族攻擊的技術(shù)細(xì)節(jié)，并將其歸咎于 Lazarus 組織。經(jīng)過(guò)深入分析，研究人員得出了不同的結(jié)論—— Andariel組織是這些攻擊的幕后黑手。此活動(dòng)中的第二階段有效載荷與來(lái)自 Andariel 組織的以前惡意程序之間的代碼重疊。除了代碼相似性和受害者相同外，研究人員還發(fā)現(xiàn)了與 Andariel 組織的其他聯(lián)系。每個(gè)攻擊者在后開發(fā)階段與后門 shell 交互工作時(shí)都有一個(gè)獨(dú)特的習(xí)慣。此活動(dòng)中使用 Windows 命令及其選項(xiàng)的方式與之前的 Andariel 活動(dòng)幾乎相同。自 2020 年年中以來(lái)，攻擊者一直在傳播第三階段的有效載荷，并利用惡意 Word 文檔和模仿 PDF 文檔的文件作為攻擊媒介。值得注意的是，除了最后一個(gè)后門，研究人員還發(fā)現(xiàn)一名受害者攻擊了自定義勒索軟件。這種勒索軟件為這次 Andariel 活動(dòng)增加了另一個(gè)方面，該活動(dòng)之前對(duì) ATM 進(jìn)行過(guò)攻擊。

研究人員最近在東南亞發(fā)現(xiàn)了一次有 LuminousMoth 的攻擊者發(fā)起的大規(guī)模、高度活躍的攻擊。進(jìn)一步分析顯示，這種惡意活動(dòng)可以追溯到 2020 年 10 月，并且在 6 月仍在進(jìn)行中。 LuminousMoth 利用 DLL 側(cè)加載來(lái)下載和執(zhí)行 Cobalt Strike 載荷。然而，這種攻擊最有趣的部分可能是它通過(guò)攻擊 USB 驅(qū)動(dòng)器傳播到其他主機(jī)的能力。除了惡意 DLL 之外，攻擊者還在一些受攻擊的系統(tǒng)上部署了流行應(yīng)用程序 Zoom 的偽造簽名，這樣攻擊者就能夠竊取文件;以及通過(guò)從 Chrome 瀏覽器竊取 cookie 來(lái)訪問(wèn)受害者 Gmail 會(huì)話的附加工具。基礎(chǔ)設(shè)施關(guān)系以及共享的 TTP 暗示 LuminousMoth 和 HoneyMyte 威脅組織之間可能存在聯(lián)系，該組織過(guò)去曾針對(duì)同一地區(qū)并使用類似的工具發(fā)起過(guò)攻擊。這種活動(dòng)早期大多數(shù)發(fā)生在緬甸，但現(xiàn)在看來(lái)攻擊者在菲律賓更為活躍，已知的攻擊次數(shù)增加了十倍以上。這就提出了一個(gè)問(wèn)題，即這種攻擊是不是專門針對(duì)菲律賓設(shè)計(jì)的。

研究人員最近報(bào)道了 SideCopy 活動(dòng)與基于 Android 的植入一起攻擊 Windows 平臺(tái)。事實(shí)證明，這些植入程序是由多個(gè)應(yīng)用程序組成的，充當(dāng)信息竊取程序，從受害者的設(shè)備中收集敏感信息，例如聯(lián)系人列表、短信、通話錄音、媒體和其他類型的數(shù)據(jù)。隨后，研究人員發(fā)現(xiàn)了其他惡意 Android 應(yīng)用程序，其中一些聲稱是已知的消息應(yīng)用程序，例如 Signal 或成人聊天平臺(tái)。這些新發(fā)現(xiàn)的應(yīng)用程序使用 Firebase 消息傳遞服務(wù)作為接收命令的通道。操作員可以控制Dropbox或其他硬編碼服務(wù)器是否被用于竊取文件。

其他有趣的 APT活動(dòng)

研究人員擴(kuò)展了針對(duì)CVE-2021-1732漏洞的研究，該漏洞最初由DBAPPSecurity Threat Intelligence Center發(fā)現(xiàn)，由Bitter APT小組使用，研究人員發(fā)現(xiàn)了另一個(gè)可能在亞太地區(qū)使用的零日漏洞。有趣的是，該漏洞是作為一個(gè)單獨(dú)框架的一部分被發(fā)現(xiàn)的，與CVE-2021-1732以及其他之前被修補(bǔ)過(guò)的漏洞一起被發(fā)現(xiàn)的。研究人員非常確信，這個(gè)框架與Bitter APT完全無(wú)關(guān)，被不同的攻擊者使用過(guò)。進(jìn)一步分析表明，至少?gòu)?020年11月起，這種特權(quán)升級(jí)(EoP)漏洞就有可能在野外使用。發(fā)現(xiàn)后，研究人員在2月份向微軟報(bào)告了這個(gè)新的漏洞。微軟經(jīng)過(guò)確認(rèn)，將其命名為 CVE-2021-28310。

漏洞中留下的各種痕跡和文物意味著研究人員也非常確信CVE-2021-1732和CVE-2021-28310是由“Moses”漏洞開發(fā)人員創(chuàng)建的。“Moses”似乎是一名漏洞利用開發(fā)人員，他根據(jù)過(guò)去的其他漏洞利用情況，向多個(gè)攻擊者提供漏洞利用。迄今為止，研究人員已經(jīng)確認(rèn)至少有兩個(gè)已知的攻擊者利用了最初由 Moses 開發(fā)的漏洞：Bitter APT 和 Dark Hotel。基于類似的標(biāo)記和工件，以及從第三方私下獲得的信息，研究人員認(rèn)為過(guò)去兩年在野外至少觀察到的有六個(gè)漏洞源自“ Moses ”。雖然 EoP 漏洞是在野外發(fā)現(xiàn)的，但研究人員目前無(wú)法將其直接與目前正在跟蹤的任何已知攻擊者聯(lián)系起來(lái)。 EoP 漏洞利用可能與其他瀏覽器漏洞利用鏈接在一起，以逃避沙箱并獲得系統(tǒng)級(jí)權(quán)限以進(jìn)行進(jìn)一步訪問(wèn)。不幸的是，研究人員無(wú)法捕獲完整的漏洞利用鏈，因此研究人員不知道該漏洞利用是否與其他瀏覽器零日漏洞一起使用，或者與利用已知已修補(bǔ)漏洞的漏洞利用相結(jié)合。

在 ProxyLogon 和其他 Exchange 漏洞被曝光后，研究人員發(fā)現(xiàn)APT 攻擊者對(duì) Exchange 服務(wù)器的攻擊激增，他們注意到了一個(gè)獨(dú)特的活動(dòng)集群，這引起了研究人員的注意，因?yàn)橹辽購(gòu)?2020 年 12 月起，它背后的攻擊者似乎一直在攻擊Exchange 服務(wù)器，而且使用的工具集都是新開發(fā)的。在3月份，幾波針對(duì)Exchange服務(wù)器的攻擊被曝光，所變現(xiàn)出來(lái)的活動(dòng)與研究人員觀察到的相同。部分描述了研究人員觀察到的相同活動(dòng)集群。據(jù)ESET報(bào)道，其中一項(xiàng)評(píng)估顯示，該活動(dòng)背后的攻擊者在其公開發(fā)布之前就已經(jīng)獲得了交易所的漏洞，這與研究人員去年對(duì)其早期活動(dòng)的觀察相符。盡管如此，沒(méi)有一個(gè)公共賬戶描述了完整的感染鏈，以及作為該組織行動(dòng)一部分的惡意程序部署的后期階段。

4 月 15 日，Codecov 公開披露其 Bash Uploader 腳本已被泄露。 Bash Uploader 腳本由 Codecov 公開傳播，旨在收集有關(guān)用戶執(zhí)行環(huán)境的信息，收集代碼覆蓋率報(bào)告，并將其發(fā)送到 Codecov 基礎(chǔ)設(shè)施。因此，這種腳本入侵有效地構(gòu)成了供應(yīng)鏈攻擊。 Bash 上傳程序腳本通常在開發(fā)和測(cè)試環(huán)境中作為受信任的資源執(zhí)行(包括作為自動(dòng)化構(gòu)建過(guò)程的一部分，例如持續(xù)集成或開發(fā)管道);它的入侵可能會(huì)導(dǎo)致惡意訪問(wèn)基礎(chǔ)設(shè)施或帳戶機(jī)密，以及代碼存儲(chǔ)庫(kù)和源代碼。雖然研究人員還無(wú)法確認(rèn)惡意腳本部署、檢索有關(guān)受攻擊目標(biāo)的任何信息或識(shí)別進(jìn)一步相關(guān)的惡意工具，但研究人員能夠收集受攻擊 Bash 上傳程序腳本的一個(gè)樣本，并識(shí)別一些可能關(guān)聯(lián)的額外惡意服務(wù)器。

在微軟4 月發(fā)布了更新后，一些可疑二進(jìn)制文件文件引起了研究人員的注意，它們偽裝成“2021年4月安全更新安裝程序”。他們使用有效的數(shù)字簽名進(jìn)行簽名，提供 Cobalt Strike 信標(biāo)模塊。這些模塊很可能是用竊取的數(shù)字證書簽名的。這些 Cobalt Strike 信標(biāo)植入程序配置有硬編碼的 C2，“code.microsoft.com”。目前研究人員可以確認(rèn)微軟的基礎(chǔ)設(shè)施沒(méi)有受到攻擊。事實(shí)上，未經(jīng)授權(quán)的一方接管了懸空的子域“code.microsoft.com”并將其配置為解析到他們的 Cobalt Strike 主機(jī)，大約在 4 月 15 日設(shè)置。該域托管了 Cobalt Strike 信標(biāo)有效載荷，使用特定且唯一的用戶代理服務(wù)于 HTTP 客戶端。

4 月 14 日至 15 日，卡巴斯基檢測(cè)到一波針對(duì)多家公司的高度針對(duì)性攻擊，所有這些攻擊都利用了 Google Chrome 和 Microsoft Windows 零日漏洞鏈。雖然研究人員目前還無(wú)法在 Chrome 網(wǎng)絡(luò)瀏覽器中檢索用于遠(yuǎn)程代碼執(zhí)行 (RCE) 的漏洞，但研究人員能夠找到并分析用于逃離沙箱并獲取系統(tǒng)權(quán)限的權(quán)限提升 (EoP) 漏洞。 EoP 漏洞利用經(jīng)過(guò)微調(diào)，可以針對(duì) Windows 10 的最新和最突出的版本(17763 – RS5, 18362 – 19H1, 18363 – 19H2, 19041 – 20H1, 19042 – 20H2)，它利用 Microsoft Windows 操作系統(tǒng)內(nèi)核。 4 月 20 日，研究人員向 Microsoft 報(bào)告了這些漏洞，他們將 CVE-2021-31955 分配給信息披露漏洞，將 CVE-2021-31956 分配給 EoP 漏洞。這兩個(gè)漏洞都在 6 月 8 日進(jìn)行了修復(fù)。漏洞利用鏈試圖通過(guò)釋放程序在系統(tǒng)中安裝了惡意程序。惡意程序以系統(tǒng)服務(wù)的形式啟動(dòng)并加載有效載荷，這是一個(gè)“遠(yuǎn)程shell”式的后門，它反過(guò)來(lái)連接到C2獲取命令。到目前為止，研究人員還沒(méi)有找到任何與已知攻擊者的聯(lián)系或重疊。因此，研究人員暫時(shí)將這個(gè)活動(dòng)集群稱為PuzzleMaker。