卡巴斯基2020三季度报告:地缘政治是APT组织的重要目标

首页 / 业界 / 报告 /  正文
来源: 国家网络威胁情报共享开放平台
发布于:2020-11-07
0x00 摘要

卡巴斯基全球研究和分析团队(GReAT)三年多来一直按季度发布高级持续威胁(APT)攻击活动报告。这些报告基于他们的威胁情报研究,能够提供未公开APT报告中部分有代表性的内容,其主要目的是为了引起人们对重大事件和发现的重视。

0x01 最显著的发现

GReAT已经记录了DeathStalker组织的部分活动。DeathStalker是一个比较独特的威胁组织,似乎主要关注律师事务所和金融领域的公司,也收集敏感的商业信息,是一群提供黑客服务或在金融界充当信息经纪人的雇佣兵。DeathStalker首次被GReAT发现是通过一种Powersing的PowerShell植入物。本季度,GReAT揭露了DeathStalker LNK-based Powersing的入侵工作流程。虽然整个工具集中并没有什么创新性的东西,但防御人员可通过一个成功的APT攻击者所使用的感染链来获取更多有价值的东西。DeathStalker继续研发和使用这种植入物,使用的策略自2018年以来基本未发生改变,同时加大了躲避检测的力度。今年8月,GReAT发布的DeathStalker活动报告总结了该组织使用的三种基于脚本语言的工具链(Powersing、Janicab和Evilnum)。

首次公开报告Evilnum之后,GReAT在2020年6月下旬检测到一批新的植入物,显示DeathStalker的静态操作方式上发生了有趣的变化。例如,该恶意软件使用硬编码的IP地址或域名直接连接到C2服务器,而之前的变种至少使用了论坛或者代码共享平台作为中转,以获取实际的C2 IP地址或域名。有趣的是,对于这次活动,攻击者不仅向受害者发送鱼叉式钓鱼邮件,还通过发送多封邮件与受害者互动,以说服他们打开诱饵,增加攻陷的可能。此外,除了在整个入侵周期中使用基于python的植入物外,无论是在新版本还是旧版本中,这是首次看到攻击者放弃PE二进制文件作为加载Evilnum的中间阶段,同时使用先进的技术来规避和绕过安全产品。

GReAT还发现了DeathStalker的另一个复杂且技术含量较低的植入物。投递流程使用Microsoft Word文档,并删除以前未知的PowerShell植入程序,该植入程序依赖于HTTPS(DoH)上的DNS作为C2通道,这种植入物被称为PowerPepper。

在近期针对目标活动的调查中,GReAT发现了一个UEFI固件映像,其中包含恶意组件,这些恶意组件会将以前未知的恶意软件释放到磁盘中。通过分析发现,泄露的固件模块是基于一个已知的Vector-EDK引导程序,而被释放的恶意软件是其它组件的下载器。通过分析该恶意软件的特征,发现了一系列自2017年以来一直用于攻击外交目标的相似样本,它们具有不同的感染媒介。虽然大多数的业务逻辑是相同的,但仍可以看到一些其它的特性或在实现上的不同。因此,可以推断出大部分样本都来自MosaicRegressor框架。受害者位于亚洲、欧洲和非洲的外交机构和非政府组织。

0x02 欧洲

英国国家网络安全中心(NCSC)发布了WellMess的首份报告(见2020年第二季度 APT趋势报告)后,又联合加拿大和美国政府就WellMess最新活动发布了联合技术报告。具体来说,三个政府都将针对COVID-19疫苗研究的恶意软件使用者归因于Dukes家族(APT29和Cozy Bear)。该报告还详细说明了活动中使用的另外两个恶意软件SOREFANG和WellMail。

虽然NCSC的报告提高了公众对最近攻击活动中使用的恶意软件的认识,但这三个政府的归因声明并没有提供明确的证据供其他研究人员确认。因此,GReAT不会修改原始声明,仍然认为WellMess攻击活动是由一个之前未知的威胁组织实施的。

0x03 涉及俄语语种的活动

今年夏天,GReAT发现了一个以前不为人知的多模块C++工具集,该工具集可追溯到2018年,用于针对性的工业间谍攻击。到目前为止,还没有发现与已知的恶意活动在代码、基础设施或TTP方面的相似之处。迄今为止,GReAT认为此工具集及其背后的威胁组织都是新的。恶意软件作者将工具集命名为MT3,基于此缩写,GReAT将工具集命名为MontysThree。该恶意软件主要用来搜索特定类型的文档,包括那些存储在移动媒体上的文档。该恶意软件使用合法的云服务(例如Google,Microsoft和Dropbox)与C2进行通信。

0x04 中东

今年6月,GReAT观察到MuddyWater APT组织的一项新的攻击活动,包含新的工具集,它们构成了加载恶意软件模块的多阶段框架。该框架的某些组件与C2进行通信时,所使用到的代码与今年早些时候在MoriAgent恶意软件中观察到的代码相同。因此,GReAT决定将此框架命名为MementoMori。这个新框架是为了方便在内存中执行PowerShell或DLL模块。GReAT在土耳其、埃及和阿塞拜疆发现了受害者。

0x05 东南亚和朝鲜半岛

今年5月,GReAT发现了Dtrack家族的新样本。第一个样本名为Valefor,是DtrackRAT的更新版本,其中包含一个新功能,即攻击者能够执行更多类型的载荷。第二个样本是名为Camio的键盘记录器,它是键盘记录器的更新版本。新版本更新了记录的信息及其存储机制,根据观察到的迹象发现这些恶意软件程序是为特定受害者量身定制的,且发现到了位于日本的受害者。

自去年12月以来,GReAT一直在跟踪LODEINFO,它是一种用于定向攻击的无文件恶意软件。在此期间,观察到了作者开发的几个版本的恶意软件。今年5月,GReAT发现v0.3.6版本针对的是日本的外交机构。之后不久,GReAT也检测到了v0.3.8。调查揭示了攻击者在横向移动阶段的操作方式:获取所需数据后,抹去他们的痕迹。

TransparentTribe又称ProjectM、MythicLeopard,是一个多产的APT组织,最近几个月以来很活跃。在跟踪TransparentTribe活动时,GReAT发现了该APT组织使用了一个有趣的工具:用于控制CrimsonRAT机器的服务器组件。因此能从攻击者的角度去审视这个恶意软件。此工具的主要目的是文件窃取,因其具有探测远程文件系统和使用特定过滤器收集文件的功能。GReAT报告中涉及一个使用CrimsonRAT工具的活动,借助该工具,可以设置和分析服务器组件,通过该工具,首次发现了USBWorm组件。GReAT还发现了一个针对印度军事人员的Android植入物。这一发现也证实了之前调查中发现的许多信息,同时也证实CrimsonRAT仍在不断开发中。

今年4月,GReAT发现了一个名为CRAT的恶意软件,基于构建的路径和内部文件名将其命名为CRAT。该恶意软件使用武器化的韩语文档、木马应用程序和水坑攻击进行传播。自发现以来,功能丰富的后门已迅速发展为多个组件。其中的一个下载程序将CRAT投递给受害者,然后是名为SecondCrat的下一阶段恶意软件,SecondCrat负责加载各种插件用于间谍活动,包括键盘记录,屏幕捕获和剪贴板窃取。在调查过程中,CRAT发现了该恶意软件与ScarCruft和Lazarus之间存在某些弱连接,因为恶意软件中的一些调试信息与ScarCruft恶意软件具有相似的模式,还包括代码风格及Lazarus C2基础设施命名方面也具有相似的模式。

今年6月,GReAT发现了一些新的Android下载器,至少从2019年12月以来就一直在野使用,并已用于针对受害者的活动中,目标几乎都是巴基斯坦。恶意软件的作者在downloader中使用了Kotlin程序语言和Firebase消息系统,模仿Chat Lite、Kashmir News Service和其他合法的地区性Android应用程序。国家电信和信息技术安全委员会(NTISB)于1月份的一份报告中描述了恶意软件共享相同的C2s并伪装为相同的合法应用程序。根据这份报告,可知其攻击目标是巴基斯坦军方机构,攻击者使用WhatsApp信息、短信、电子邮件和社交媒体作为初始的感染媒介。该恶意软件还通过Telegram Messenger传播。通过对初始下载程序集进行分析,可以找到与该恶意软件密切相关的另一个特洛伊木马,因为它们都使用了downloader中提到的程序包名称并且针对的目标相同。这些新样本与以前发现的Origami Elephant组织的样本,在代码上有很强的相似性。

7月中旬,GReAT观察到一个东南亚政府组织被一个未知的威胁组织盯上了,该攻击者使用了一个恶意ZIP包,其中包含了多层恶意RAR可执行程序包。该ZIP包是围绕COVID-19话题展开的。就像过去看到的针对特定国家的其他活动一样,这些攻击者正采取长期的、多管齐下的方法来破坏目标系统,而不使用零日攻击。值得注意的是,另一个组织(可能是OceanLotus)除了使用Cobalt Strike之外,还使用了一种类似的Telegram messenger投递技术,在一个月左右的时间内使用COVID-19主题的恶意LNK植入至相同的政府组织中实施攻击。

2020年5月,卡巴斯基技术公司阻止了一次针对一家韩国公司的恶意Internet Explorer脚本攻击。进一步分析发现,此次攻击使用了一个未知的攻击链,包括两个零日攻击:一个是针对Internet Explorer的远程代码执行攻击,另一个是针对Windows的权限提升攻击。与之前在WizardOpium活动中发现的攻击链不同的是,新的攻击链针对的是Windows 10最新版,通过测试证明其利用了Internet Explorer 11和Windows 10 build 18363 x64漏洞。6月8日,GReAT向微软报告了这个发现,微软确认了此漏洞。在漏洞报告发布时,微软的安全团队已经为漏洞CVE-2020-0986打了补丁,该漏洞被用于零日特权提升攻击,但在发现之前,该漏洞被利用的可能性较小,CVE-2020-0986的补丁于6月9日发布。微软将JScript中的use-after-free漏洞分配了漏洞编号CVE-2020-1380,并于8月11日发布了针对该漏洞的补丁。GReAT将这一事件和相关的攻击称为“PowerFall”。目前,无法与任何已知的威胁组织建立明确的联系,但因为与先前发现的漏洞存在相似之处,GReAT认为DarkHotel可能是这次攻击的幕后黑手。

7月22日,GReAT在VirusTotal网站上发现了一个来自意大利的可疑存档文件。该文件似乎是一个分类,包括恶意脚本、访问日志、恶意文档和几个可疑文件检测相关的屏幕截图。在分析了这些恶意文档之后,GReAT认为它们与6月份报道的Lazarus组织的活动有关。这场被称为“死亡笔记”的行动,其攻击目标是汽车工业和学术领域的个人,使用包含航空航天和国防相关职位描述的诱饵文件。GReAT认为这些文档与最近报道的针对以色列防务公司的攻击有关,GReAT已经发现了webshell脚本、C2服务器脚本和恶意文档,确定了被C2服务器控制的受害者及其访问C2的方法。

正在进行的Sidewinder攻击活动始于2月,它使用了五种不同的恶意软件类型。该组织对其最终有效载荷进行了修改,并继续利用COVID-19等主题针对政府、外交和军事部门执行鱼叉式网络钓鱼活动。虽然该组织利用CVE-2017-1182和DotNetToJScript工具部署最终的有效载荷的机制与之前相同,但该组织还使用了ZIP存档来下载最后阶段的有效载荷,该ZIP存档包含微软编译的HTML帮助文档。除了现有的基于.NET的植入(称为SystemApp)之外,攻击者还将JS Orchestrator、Rover/Scout后门和AsyncRAT、warzoneRAT的改进版本添加到它的武器库中。

0x06 其它有趣的发现

GReAT在调查一项正在进行的活动时,发现了一种正在开发的新的Android植入物,它与已知的Android恶意软件没有任何明显的联系。该恶意软件能够监控和窃取通话记录、短信、音频、视频和非媒体文件,以及识别感染设备的信息。它还具备一个有趣的特性,即收集关于使用“traceroute”命令和使用本地ARP缓存获得网络路由和拓扑结构信息。在这次调查中,GReAT发现了一些类似Android间谍软件的植入物,其中一个样本被混淆了。GReAT还发现了旧版本的Android恶意软件,更像一个后门,其在野踪迹可以追溯到2019年8月。

思科描述了一位身份不明的黑客使用PoetRAT恶意软件对阿塞拜疆政府和能源部门实施攻击活动。通过与卡巴斯基ICSCERT的合作,确定了相关恶意软件和文档的补充样本,这些恶意软件和文档的目标是阿塞拜疆的多所大学、政府、工业组织以及能源部门的实体。该活动始于2019年11月,在思科报告发布后,攻击者立即关闭了基础设施。该攻击者与Turla在受害者心理学上有一个很小的重叠,但是由于在技术上没有可靠的证据证明它们之间的关系,并且无法将这种新的活动归因于任何其它已知的攻击者,因此将其命名为ObsidianGargoyle。

0x07 总结

某些威胁组织的TTP会随时间推移仍保持一致(例如使用热门主题COVID-19)诱使用户下载并执行鱼叉式钓鱼邮件中的恶意附件),而其他组织则进行自我改造,开发新的工具集,扩大其攻击活动范围。虽然一些威胁组织开发了非常复杂的工具,例如MosiacRegressor UEFI植入物,但其它攻击者使用基本的TTPs也可以取得成功。这种定期的季度回顾旨在揭露APT组织的关键发展动态。

以下是2020年第三季度APT趋势报告中所看到的主要趋势:

地缘政治仍然是APT威胁组织的重要目标。如TransparentTribe、Sidewinder、Origami Elephant和MosaicRegressor的攻击活动。

金融部门的组织也继续引起关注:雇佣军组织DeathStalker的活动就是一个最近的例子。

将继续通过Transparent Tribe和Origami Elephant观察APT攻击中使用移动植入物的情况。

尽管APT组织在全球范围内很活跃,但最近的攻击活动主要集中在东南亚,中东和受华人APT组织攻击活动影响的各个地区。

将继续看到以COVID-19为主题的攻击——本季度包括WellMess和响尾蛇。

本季度最值得关注的APT活动是DeathStalker和MosaicRegressor。前者强调了一个事实,即APT组织可以在不开发非常复杂的工具的情况下达到其目标,后者代表了恶意软件开发的前沿技术。

原标题:APT trends report Q3 2020

本文为CNTIC情报组编译,点击此次可查看报告原文。