2021第一季度APT攻擊趨勢分析(上)
卡巴斯基全球研究與分析團隊(GReAT)四年來一直都在持續關注並發布關於高級持續攻擊(APT)活動的季度報告。這些報告是基於研究人員的持續攻擊情報分析,本文會對相關的發現做更詳細和細緻的研究。
APT的攻擊趨勢分析
去年12月,著名的IT託管服務提供商SolarWinds遭受了複雜的供應鏈攻擊。該公司的Orion IT(一種用於監視和管理客戶的IT基礎架構的解決方案)遭到了攻擊。這導致在北美、歐洲、中東和亞洲的18000多個SolarWinds客戶網路(包括許多大型公司和政府機構)上被部署了名為Sunburst的自定義後門。在有關Sunburst的初始報告中,研究人員仔細檢查了該惡意程序用於與其C2(命令和控制)伺服器通信的方法以及用於升級對受害者以進一步利用的攻擊方法。對Sunburst後門的進一步調查顯示,一些功能與先前確定的後門——Kazuar有重疊之處,Kazuar於2017年首次被發現,有人認為與Turla APT組織有關。Sunburst和Kazuar之間的共享功能包括受害者UID生成演算法,其演算法中的代碼相似性以及FNV1a哈希廣泛用於混淆字元串比較的功能。有幾種可能性:Sunburst可能是和Kazuar一起由同一組織開發的或者Sunburst的開發人員可能已經採納了Kazuar的一些想法或代碼或者兩組都從同一來源獲得了惡意程序或者一些Kazuar開發人員已經將隨身攜帶的經驗和知識轉移到另一個開發團隊了,或者Sunburst的開發者引入這些鏈接作為一種虛假標誌。下面將做進一步分析。
3月2日,微軟報告了一個名為HAFNIUM的APT攻擊,該攻擊利用了Exchange Server中的四個零日漏洞進行了所謂的「有限和有針對性的攻擊」。當時,微軟聲稱,除了HAFNIUM之外,其他一些攻擊組織也正在利用它們發起了攻擊。同時,Volexity還報告了2021年初使用相同的Exchange零日漏洞的情況。根據Volexity的追蹤分析,除微軟報告的HAFNIUM之外,還報告了一些攻擊組織之間正共享一些正在使用的漏洞。卡巴斯基追蹤技術揭示了在微軟公開披露並修補此漏洞後,針對這些漏洞的利用嘗試激增。在3月的第一周,研究人員確定了大約1400台目標伺服器,其中使用了一個或多個漏洞來進行初始訪問。在發布這份報告之前,研究人員於2月28日在不到十二個Exchange系統上確定了相關的漏洞利用;研究人員還發現了超過12個偽造的Exchange文件,表明該文件已經被攻擊組織上傳到了多個掃描服務中。根據研究人員的追蹤,在歐洲和美國觀察到了大多數利用伺服器的嘗試。其中一些伺服器多次被不同的攻擊組織(基於命令執行模式)攻擊,這表明這些漏洞現在可以被多個組織使用。
自3月中旬以來,研究人員還發現了一項針對俄羅斯聯邦政府的活動,該活動使用了上述Exchange零日漏洞。該活動利用了一個以前未知的惡意程序家族,研究人員將其稱為FourteenHi。進一步的調查顯示了追溯到一年前這種惡意程序變體的活動痕迹,研究人員還發現,在同一時間範圍內,與HAFNIUM進行的這些活動集在基礎架構和TTP以及ShadowPad惡意程序的使用方面存在一些重疊。
歐洲的APT攻擊趨勢分析
在對FinFisher間諜程序工具進行常規分析期間,研究人員發現了最近針對FinFly Web部署的跟蹤。特別是,研究人員發現使用FinFly Web生成的兩台帶有Web應用程序的伺服器。本質上,FinFly Web是實現基於Web的利用伺服器的一組工具和程序包。在Gamma Group遭到黑客攻擊後,它於2014年首次被公開。在2019年10月至2020年12月之間,其中一台可疑的FinFly Web伺服器處於活躍狀態已超過一年。在去年12月研究人員發現後的第二天,該伺服器已被禁用。儘管如此,研究人員仍然能夠捕獲其登錄頁面的副本,其中包括用於使用以前未知的代碼來描述受害者的JavaScript。在第二種情況下,託管FinFly Web的伺服器在發現之時已經離線,因此研究人員使用可用的歷史數據得出了結論。事實證明,它在2020年9月前後的很短時間內在主機上處於活動狀態,該主機似乎冒充了流行的Mail.ru服務。令人驚訝的是,該伺服器於1月12日再次開始回應查詢。到目前為止,研究人員還沒有看到這些網頁刪除任何相關的有效載荷。
俄語地區的APT攻擊趨勢分析
Kazuar是通常與Turla攻擊組織(又名Snake和Uroboros)相關聯的.NET後門。最近,Kazuar由於與Sunburst後門的相似之處而重新受到關注。儘管Kazuar的功能已經被多次公開,但是有關此後門的許多深入研究實並未公開。研究人員的最新報告重點關注攻擊組織對該後門的9月和11月版本所做的更改。
2月24日,烏克蘭國家安全防禦委員會(NSDC)公開警告說,攻擊組織已經利用國家文件傳播系統(SEI EB)向烏克蘭公共當局傳播了惡意文件。該警報包含一些相關的網路IoC,並指定特定文檔使用了惡意宏,以便將植入程序傳播到目標系統上。多虧了共享的IoC,研究人員才能夠非常確定地將這次攻擊歸因於Gamaredon攻擊組織。卡巴斯基從2月份開始就將NSDC提到的惡意伺服器IP稱為Gamaredon基礎架構。
1月27日,法國國家網路安全機構(ANSSI)發布了一份報告,描述了針對2017年至2020年之間公開暴露和過時的Centreon系統的攻擊活動,目的是部署Fobushell(又名 P.A.S.)webshell和Exaramel植入程序。ANSSI將活動與Sandworm攻擊集(研究人員稱為Hades)聯繫在一起。儘管研究人員專門尋找了其他受攻擊的Centreon系統、Exaramel植入程序樣本或相關基礎設施,但仍無法檢索到任何有用的痕迹,因此無法進行全面調查。但是,研究人員確實確定了已部署Fobushell Webshell的三台Centreon伺服器。其中一個Fobushell樣本與研究人員先前在Zebrocy C2伺服器上確定的另一個樣本相同。
華語地區的APT攻擊趨勢分析
自2020年6月以來,研究人員發現了一系列惡意活動,研究人員將其命名為EdwardsPheasant,主要針對越南的政府組織。攻擊組織利用了以前未知且晦澀難懂的後門和載入程序。活動在2020年11月達到頂峰,但目前仍在進行中。相關的攻擊組織繼續利用其工具和策略來攻擊目標或維護其網路中的訪問。雖然研究人員可以確定與Cycldek(又名Goblin Panda)和Lucky Mouse(又名Emissary Panda)相關的工具和戰術的相似性,但他們無法將這個活動歸結為這兩個活動中的任何一個。
研究人員調查了一項名為A41APT的長期間諜活動,該活動針對多個行業,包括日本製造業及其海外基地,該活動自2019年3月以來一直活躍。攻擊組織利用SSL-VPN產品中的漏洞來部署被稱為Ecipekac的多層載入程序(又名DESLoader、SigLoader和HEAVYHAND)。研究人員將此活動和APT10聯繫在一起。該載入程序部署的大多數發現的有效載荷都是無文件的,以前從未見過。研究人員觀察到了SodaMaster(又名DelfsCake,dfls和DARKTOWN),P8RAT(又名GreetCake和HEAVYPOT)和FYAnti(又名DILLJUICE Stage 2),它們依次載入了QuasarRAT。2020年11月和12月,研究人員發表了兩篇有關該活動的博客。一個月後,研究人員觀察到了攻擊組織的新活動,其中包括他們的某些植入程序的更新版本,這些植入程序旨在逃避安全產品並使研究人員更難進行分析。
中東地區的APT攻擊趨勢分析
最近,研究人員遇到了被認為是來自於Lyceum / Hexane攻擊組織的先前未知的惡意工具集,這表明其背後的攻擊組織仍處於活動狀態,並且在去年一直在開發升級階段。儘管Lyceum仍然更喜歡利用DNS隧道,但它似乎已用新的C 後門和功能相同的PowerShell腳本代替了以前記錄的.NET有效內容。研究人員的追蹤表明,攻擊組織的最新攻擊集中在對突尼西亞各領域的攻擊中。研究人員觀察到的受害者都是突尼西亞知名的組織,例如電信或航空公司。基於目標行業,研究人員假設攻擊組織可能會對攻擊這些對象以跟蹤他們感興趣的個人的活動和交流感興趣。這可能意味著最新的Lyceum組織將重點放在針對突尼西亞的行動上,或者這是尚未發現的更廣泛活動的分支。
2020年11月19日,Shadow Chaser Group發了一條推文,內容涉及可疑的MuddyWater APT惡意文檔,該文檔可能針對阿拉伯聯合大公國的一所大學。根據此後的分析,研究人員懷疑此攻擊至少是在2020年10月上旬開始並且在2020年12月下旬才停止的活動的一部分。攻擊組織依靠基於VBS的惡意程序來感染政府、非政府組織的組織和教育部門。但是,研究人員的追蹤表明攻擊組織沒有部署其他工具,且他們也不認為發生了數據泄漏。研究人員分析,此攻擊目前處於行動預備階段,研究人員預計攻擊浪潮將在不久的將來接踵而至。在研究人員的報告中,他們提供了對該攻擊組織使用的惡意文檔的深入分析,並研究了它們與已知的MuddyWater工具的相似性,特別是基礎設施設置和通信方案也類似於以前。攻擊組織正追蹤分析第一階段的C2伺服器,以便從VBS植入程序返回連接進行初始通信之前對其進行分析。研究發現,攻擊組織在進行最初的偵察後,會將植入程序的通信傳播給第二階段C2,以進行其他下載。最後,研究人員分析了該工具與MuddyWater組織開發的已知TTP的相似之處。MuddyWater組織被認為是一個來自伊朗的APT組織,從2017年活躍至今。其攻擊目標國家包括伊拉克、約旦、土耳其、黎巴嫩等中東地區國家,具有較明顯的政治意圖。目標行業包括政府機構、電信、能源及高科技行業。
Domestic Kitten是一個主要以移動後門聞名的攻擊組織,該組織的行動於2018年曝光,這表明它正在對中東地區的個人進行監視並隨時準備發起攻擊。攻擊組織通過向Android用戶發送流行的,知名的應用程序(這些應用程序是後門程序並包含惡意代碼)來針對Android用戶。許多應用程序具有宗教或政治主題,並且是針對波斯語、阿拉伯語和庫爾德語的用戶,者可能暗示了此次攻擊的主要目標。研究人員發現的新的證據表明,至少從2013年開始,Domestic Kitten就一直使用PE可執行文件來使用Windows鎖定目標受害者,並且有證據表明它可以追溯到2011年。據研究人員分析,其Windows版本至今尚未發布。該版本中的植入程序功能和基礎結構一直保持不變,並已用於該組織今年目睹的活動中。
Domestic Kitten是一個APT組織,自2015年以來一直針對波斯語地區的用戶,並且其開發組織似乎設在伊朗。儘管該組織已經活躍了很長時間,但其大部分活動都處於監控之下,據研究人員分析,安全研究人員並未對此組織進行調查。直到最近,當誘餌文件被上傳到VirusTotal並被Twitter上的研究人員注意到時,它才引起注意。隨後,研究人員對其中一個植入程序進行了分析。目前研究人員已經能夠對其擴展功能進行分析了,並提供有關其他變體的分析。在上述文檔中提到的被刪除的惡意程序稱為MarkiRAT,用於記錄擊鍵和剪貼板內容,提供文件下載和上傳功能以及在受害者計算機上執行任意命令的功能。研究人員可以將該植入程序追溯到2015年,以及旨在劫持Telegram和Chrome應用程序作為持久攻擊。多年來,植入程序一直使用的是相同的C2域,這在「Domestic Kitten」的活動中得到了證明。Domestic Kitten組織(APT-C-50)最早被國外安全廠商披露,自2016年以來一直在進行廣泛而有針對性的攻擊,攻擊目標包括中東某國內部持不同政見者和反對派力量,以及ISIS的擁護者和主要定居在中東某國西部的庫爾德少數民族。值得注意的是,所有攻擊目標都是中東某國公民。伊斯蘭革命衛隊(IRGC)、情報部、內政部等中東某國政府機構可能為該組織提供支持。
Karkadann是一個攻擊組織,至少從2020年10月起就一直針對中東的政府機構和新聞媒體發起攻擊。該攻擊組織利用具有觸發感染鏈的嵌入式宏的量身定製的惡意文檔,在Internet Explorer中打開URL。宏和瀏覽器規範中存在的最低限度功能表明,攻擊組織可能正在利用Internet Explorer中的特權升級漏洞。儘管在Karkadann案中可用於分析的證據很少,但研究人員仍能找到與Piwiks案的相似之處,這是研究人員發現的針對中東多個知名網站的水坑攻擊。研究人員還發現了Karkadann最近的攻擊活動以及該活動與Piwiks攻擊之間的相似之處。自去年以來,研究人員發現一些基礎架構與未歸類的攻擊重疊,這些攻擊可能與同一攻擊組織聯繫在一起。
