今年7月6日,美联邦调查局(FBI)、网络与基础设施安全局(CISA)和财政部(DoT)警告称,有朝方背景的黑客组织,正在利用勒索软件向美国各地的医疗保健机构和公共卫生部门发起攻击。在发布的联合公告中,美政府机构指出,其发现相关黑客活动至少可追溯至2021年5月开始部署的Maui勒索软件。据悉,受害医疗保健机构的服务器资料会被加密,并波及电子健康记录、医学成像和整个内网。
但根据卡巴斯基实验室的进一步跟踪分析,其首次攻击应该是在2021年4月15日,且攻击目标还包含日本和印度。由于此次事件中的恶意软件是在2021年4月15日首次编译的,而且所有已知样本的编译日期都相同,因此这应该是Maui勒索软件的首次出现。
不过CISA的报告中没有提供将勒索软件归咎于朝鲜组织的有用信息,但最新研究发现,在将Maui部署到系统前约10小时,该组织还在系统中部署了一个DTrack变体,这和针对韩国的Andariel(又名Silent Chollima和Stonefly)是同一组织。
DTrack是Lazarus组织的开发的后门。这种后门被用于各种攻击,包括勒索软件攻击和间谍活动。它在 Lazarus的活动中扮演着重要的角色。在3月,我们检测到新的DTrack示例又以不同的方式出现了,代码变化相对较少。
俄语地区的活动
我们在2021年首次介绍了HotCousin,这是利用EnvyScout传播的恶意活动,微软将其公开归因于Dark Halo(NOBELIUM)。我们最近的调查显示,至少从今年2月开始,HotCousin已尝试攻击欧洲、亚洲、非洲和南美洲的外交部门。
该组织的TTP与我们之前描述的保持一致。鱼叉式网络钓鱼电子邮件会诱骗受害者安装恶意ISO文件并双击LNK,从而启动感染链。第一次感染通常旨在安装一个下载程序,它试图从合法的web服务下载其他恶意植入程序。最后的有效负载通常看似良性,如Cobalt Strike。其他供应商也观察到了其中的一些活动,特别是从Dropbox、Google Drive和Trello等外部服务中获得额外植入的下载程序。在大多数情况下,目标似乎是欧洲的外交和政府机构。虽然目前我们仍然无法识别HotCousin和Dark Halo/NOBELIUM或The Dukes/APT29之间的任何重要联系,但其攻击目标、技术和进程都与APT29的活动相似。
中文地区的活动
2021年初,卡巴斯基发布了一份关于A41APT活动的报告。该报告介绍了该活动中使用的恶意软件的技术细节,如Ecipekac, SodaMaster, P8RAT, FYAnti和QuasarRAT。2021年12月,趋势科技还发布了一篇博文,介绍了他们对A41APT活动背后威胁因素的最新活动的调查,他们将其命名为Earth Tengshe。趋势科技认为,该活动与APT10组织有很强的联系。
该博客还介绍了一种新的恶意软件——Jackpot,这是一个以前不为人知的针对IIS服务器的无文件恶意软件。卡巴斯基和趋势科技都同时发现了相同的攻击特征,比如SodaMaster和Ecipekac的更新版本,以及名为IISBack的新的恶意无文件IIS模块。然而,我们还发现了一个新的恶意植入,自2015年以来,这个组织一直使用它来部署SodaMaster,我们将这个模块命名为HUI loader。
自4月以来,我们已经检测到一些KeyPlug恶意软件样本被部署在知名的亚洲国家的受害者系统中,其中一些线索竟出现在2021年底。KeyPlug是一个模块化后门,能够通过其异或加密嵌入式配置块中设置的多个网络通信协议与其服务器通信。服务器基础设施主要基于Cloudflare CDN,我们收集的每个恶意软件样本只包含一个域和几个IP地址,它们都指向CDN网络上的同一个域。一旦连接到服务器,恶意软件将下载更多模块作为插件,并将其加载到受害者的计算机上。在这些攻击中使用的恶意软件和基础设施与之前已知的APT41活动相似。然而,这些攻击和APT41的关联并不大。
我们最近使用GamePlayerFramework分析了DiceyF针对在线赌博平台开发工作室和IT招聘组织的目标。这与旧的PuppetLoader代码有关,但已经用c#重新设计和编写了。DiceyF窃取代码签名证书,对恶意软件进行数字签名,在恶意软件中嵌入人工制品和字符串,模仿使用这些证书签名的合法软件,然后通过软件分发服务器分发签名的恶意软件。大部分目标在中国和菲律宾,但也有一些越南。
今年3月,我们观察到在一些攻击中使用Microsoft Word文件作为感染媒介。6月,我们发现一个SFX文件使用一个包含日语内容的诱饵文件。我们还发现了一个新的下载程序shell代码,我们称之为DOWNIISSA,用来部署LODEINFO后门。
虽然目标是日本的受害者,符合APT10通常的受害者类型,但我们也发现了在俄罗斯和马来西亚可能有行动的迹象。此外,我们分别在3月、4月和5月调查了LODEINFO shellcode的新版本,即v0.5.9、v0.6.2、v0.6.3和v0.6.5。这些发现表明,在一段时间内似乎不活跃的APT10在LODEINFO的新版本中恢复了它的活动。
今年4月,我们在亚太地区的一个外交组织中检测到了CobaltStrike,该加载程序引起了我们的注意,因为其中一个显示了一家软件开发公司的合法数字签名,我们提醒了该公司。深入挖掘,我们发现了几种利用HTTP或原始TCP通信协议的变体,并发现了与之相关的利用后活动的痕迹,以及Radmin和Gh0stRAT的同时使用。
中东地区的活动
我们最近发现并分析了FramedGolf,这是一个以前没有记录的IIS后门,只能在伊朗找到,旨在在目标组织中建立持久的立足点。值得注意的是,在成功利用Exchange服务器上的ProxyLogon类型漏洞后部署了后门。该恶意软件已至少攻击了12家组织,最早是从2021年4月开始的。
SoleDragon是SilentBreak组织使用的复杂恶意软件。卡巴斯基于2018年首次发现该恶意软件,以及CVE-2018-8453漏洞。2019年,SoleDragon也通过Skype部署。在那之后,没有关于SoleDragon的信息,直到我们在2021年底检测到两个新的植入程序。攻击目标是中东的组织,它们的代码与SoleDragon的老样本有相似之处。新发现的植入程序有一个是c++后门SoleExecutor,它等待激活消息,然后接收一个DLL并启动它,另一个植入程序是一个键盘记录器,我们称之为Powerpol。
今年6月,我们发现了一个之前不为人知的Android间谍软件应用程序,目标是波斯语地区的个人。SandStrike是一种获取在伊朗被禁止的巴哈伊宗教资源的方式。它为受害者提供了一个VPN连接,可以用来浏览这些资源。间谍软件本身从受害者的设备收集各种数据,如通话记录或联系人列表。在执行过程中,它连接到C2服务器以请求命令:这些命令允许攻击者对设备文件系统执行操作。
DeftTorero(又名Lebanese Cedar, Volatile Cedar)是一个APT组织,可能起源于中东,众所周知,它专注于同一地区的受害者。尽管其活动自2012年以来一直被观察到,但直到2015年才被披露,直到2021年1月才有公开活动记录。迄今为止,公开报告披露并讨论了最终有效负载,很少涉及TTP。
分析发现,2021年1月的指标并不一定代表新的入侵或新的恶意软件样本,因为检测到的是相对较老的(2018年至2020年之间),而且RAT样本不包含重大修改。通过分析以前的攻击,我们怀疑新检测的攻击是由于攻击者使用了无文件技术和许多攻击者使用的公共攻击工具,如Metasploit, Mimikatz, Crackmapexec,已知的web shell和其他已知的工具。这使得运营商在损害其目标和受害者时具有一定程度的匿名性。
东南亚和朝鲜半岛地区的活动
我们观察到最近DeathNote的活动颇为频繁。今年3月,我们看到Lazarus在韩国肆虐。攻击者可能使用了我们之前报道的攻击策略,滥用了终端安全程序。然而,我们发现恶意软件和感染方案已经更新。攻击者使用多阶段感染,从Racket Downloader开始。
通过Racket Downloader,运营商部署了额外的恶意软件,用于进一步的攻击后活动。在这个阶段,组织使用了我们以前没有见过的恶意软件,只需极少的功能就可以从C2服务器执行命令。使用这个植入的后门,操作员进行了许多实际操作键盘的活动。他们在受害者的环境中潜伏了一个月,并执行各种命令来收集基本的系统信息。
此外,我们还观察了他们如何试图找到具有高权限的有价值主机,如文件服务器或Active Directory服务器。Lazarus Group提供了额外的恶意软件,如键盘记录器和密码转储工具,以收集更多信息。此外,由于与KrCERT密切合作,我们有机会研究攻击者的C2脚本。他们采用了与之前类似的C2结构,在一个web服务器的基础上,配置了一个多级C2服务器,第一级服务器作为代理服务器,第二级服务器用于控制受害者。
我们发现了一场针对南非和巴西国防承包商的活动,其背后攻击者通过社交媒体或电子邮件联系潜在受害者,并通过Skype发送最初的恶意软件。该恶意软件是一个经过木马化的PDF应用程序,它启动一个多阶段感染链,通过DLL侧加载技术加载包含C2通信能力的附加有效负载。
此外,攻击者在初始主机上部署了额外的恶意软件,以执行横向移动。在这个过程中,运营商利用了一种名为ServiceMove的相对较新的DLL侧加载技术,通过滥用Windows Perception Simulation Service加载任意DLL文件以达到恶意目的。该组织有许多武器库,会根据其意图攻击不同的目标。在其中一名受害者身上,攻击者发现了类似的初始感染载体。然而,该黑客使用了不同的恶意软件。Lazarus配备了各种工具,并将其用于各种感染链。在检查本例中的所有样本时,我们观察到不同的集群:ThreatNeedle、Bookcode和DeathNote。
十多年来, Tropic Trooper组织一直积针对的是东亚和东南亚的受害者。多年来,我们一直在追踪这个攻击组织,并曾发布过一份描述其恶意操作的APT威胁报告。今年早些时候,赛门铁克(Symantec)发布了一份报告,描述了一个名为Antlion的活动,该活动被观察到针对中国台湾的金融机构。
在分析这次活动的IoC时,我们发现了其与 Tropic Trooper有很强的联系,这使我们认为该组织是Antlion活动的幕后黑手。在我们的调查中,我们发现并研究了该攻击者使用赛门铁克博客文章中描述的恶意软件家族进行的不同攻击,以及几年前我们在一份关于 Tropic Trooper的报告中报告的恶意软件的新版本。
我们成功地发现了这些攻击的感染链、攻击基础设施、横向移动以及该攻击者进行的后利用活动。除了金融部门,还包括科技硬件和半导体行业,以及一个政治组织。此外,我们在2021年8月发现了一个之前不为人知的多模块后门,该后门部署在一台受害设备上,使用MQTT协议与其C2服务器进行网络通信。追踪这一后门,可知该攻击者似乎至少从2019年开始使用该模块,而且只针对特定的目标。
Kimsuky是一个多产且活跃的攻击者,主要针对与朝鲜有关的组织。与其他老练的攻击者一样,该组织也经常更新工具。然而,最近我们有机会深入了解了他们是如何配置C2服务器的,以及他们使用什么样的技巧来确认和进一步验证他们的受害者。Kimsuky组织在世界各地配置了多阶段C2服务器和各种商业托管服务。
我们认为攻击分几个阶段发生。首先,攻击者向潜在受害者发送鱼叉式钓鱼电子邮件,诱使其下载其他文件。如果受害者点击该链接,将导致连接到第一阶段C2服务器,并将电子邮件地址作为参数。第一阶段C2服务器验证传入的电子邮件地址参数是预期的,并且如果恶意文档在目标列表中,则传送该恶意文档。
第一阶段脚本还将受害者的IP地址转发到下一阶段服务器。当提取的文档打开时,它连接到第二个C2服务器。第二个C2服务器上的相应脚本检查从第一级服务器转发的IP地址,以验证这是来自同一受害者的预期请求。使用此IP验证方案,攻击者验证传入请求是否来自受害者。
除此之外,运营商还依赖于其他几个流程来传播下一个有效负载。第二个C2服务器上的另一个C2脚本检查操作系统类型和预定义的用户代理字符串,以过滤来自安全研究人员或自动分析系统的请求。我们的研究则强调了Kimsuky攻击者如何密切关注合法受害者的身份验证,并向他们提供下一阶段的有效负载。
继去年我们对Dropping Elephant活动的分析报告之后,我们继续跟踪这个组织的活动。该组织在过去一年中一直非常活跃,相继对巴基斯坦和中国境内针对军事、外交和教育机构发起多次袭击。
通过对我们收集的样本的分析,Dropping Elephant并没有放弃其传统的JakyllHyde RAT(又名BadNews),但在最近的攻击中,我们看到他们开始转向使用PubFantacy,我们甚至看到JakyllHyde的一些功能被移植到PubFantacy。同时,我们还发现了使用Delphi开发的新的恶意软件。Dropping Elephant的主要攻击方法仍然是钓鱼和攻击易受攻击的Office套件。
其他有趣的发现
7月30日,一位名叫Adastrea的攻击者在两个黑暗的网络论坛上发布消息称,他们正在出售属于MBDA、北约和意大利国防部的60GB机密和受限信息。Adastrea是一个全新的帐户,它将自己定义为一个独立的网络安全专家和研究人员。在8月10日的另一篇帖子中,这位攻击者提供了据称从菲律宾窃取的500MB军事情报数据。我们无法获取和分析泄露的信息。
在7月发布的帖子中,这位攻击者还分享了MEGA上的演示文件(只有47MB),并写道他们将在私人聊天中讨论泄漏的价格,分享他们的XMPP账户和Protonmail电子邮件地址。在这些声明之后,MBDA在一份新闻稿中否认了任何攻击。一周后,也就是8月7日,这名攻击者发布了窃取数据的新证据。卡巴斯基ICS-CERT能够获得部分私人泄露数据,并在卡巴斯基全球研究和分析团队的帮助下对这些数据进行分析,以更好地了解攻击者发布的TTP和论坛帖子的真实性。
至少从2020年12月起,我们发现了一个以前未知的后门正在使用。这个后门的主要目的是记录和窃取密码,与它所利用的安全支持提供商(SSP)DLL的功能相匹配。除了收集到的密码外,后门还会收集有关受感染系统的典型信息,并向攻击者提供若干操作和执行文件的命令。这个后门包含一个加密的shell代码,允许攻击者执行通过加密通道接收的任意代码。
今年9月,我们发表了对Metatron的分析,这是一个非常复杂的新型恶意软件平台,曾被用于针对中东和非洲的电信公司、ISP和大学。Metatron是一个通过微软控制台调试器脚本引导的模块化植入程序。后门支持多种传输模式,并提供转发和端口敲击功能,它实现67个不同的命令。原始样本由SentinelOne提供,并与他们合作进行分析。
总结
尽管一些攻击者的TTP会一直保持不变,严重依赖社会工程作为在目标组织中站稳脚跟或损害个人设备的手段,但另一些攻击者则一直在迭代他们的工具集并扩展活动范围。以下是我们在2022年第三季度看到的主要趋势:
1.APT活动在地理上分布非常广泛。本季度,我们看到攻击者们将攻击扩展到欧洲、美国、韩国、巴西、中东和亚洲各地。
2.APT攻击者选择的目标多样。它们包括政府和外交机构、国防承包商、金融部门、科技硬件和半导体部门以及IT招聘和赌博部门。
3.地缘政治仍然是APT发展的关键因素,网络间谍活动仍然是APT活动的首要目标。然而,Andariel使用勒索软件表明,这并不是APT攻击的唯一动机。
本文翻译自:https://securelist.com/apt-trends-report-q3-2022/107787/如若转载,请注明原文地址