2022 年第三季度 APT 趋势报告

五年多来,卡巴斯基的全球研究与分析团队 (GReAT) 一直在发布高级持续性威胁 (APT) 活动的季度摘要。这些摘要基于我们的威胁情报研究;它们提供了我们在私人APT报告中更详细地发布和讨论的内容的代表性快照。它们旨在突出我们认为人们应该注意的重大事件和发现。

这是我们的最新一期,重点关注我们在 2022 年第三季度观察到的活动。

原文链接:https://securelist.com/apt-trends-report-q3-2022/107787/

希望了解有关我们的情报报告的更多信息或要求有关特定报告的更多信息的读者,请联系intelreports@kaspersky.com.

最显著的发现

7月7日,CISA发出警报,”朝鲜国家资助的网络行为者利用毛伊岛勒索软件攻击医疗保健和公共卫生部门“,基于楼梯间关于毛伊岛勒索软件的报告。我们可以在 2022 年确认毛伊岛勒索软件事件,但我们会将其“首次出现”日期从报告的 2021 年 5 月扩展到 2021 年 4 月 15 日,并将目标的地理位置扩展到日本和印度。由于此事件中的恶意软件是在 2021 年 4 月 15 日编译的,并且所有已知样本的编译日期都相同,因此此事件可能是第一个涉及 Maui 勒索软件的事件。CISA 报告中没有提供将勒索软件归因于朝鲜行为者的有用信息,但我们发现,在将 Maui 部署到系统前大约 10 小时,该组织还在系统中部署了 DTrack 的变体。这个和其他数据点应该有助于以低到中等的置信度巩固对韩语APT Andariel(又名Silent Chollima和Stonefly)的归因。您可以阅读我们关于 Andariel 使用 DTrack 和 Maui 的公开报告这里.

DTrack是Lazarus组子集使用的后门。后门已被用于各种攻击,包括勒索软件攻击和间谍活动。我们过去和最近也多次报告过它,因为它在拉撒路的活动中起着重要作用。在 3 月份,我们检测到新的 DTrack 样本以不同的方式打包,并且代码变化相对较少。在将于 11 月发布的报告中,我们将详细分析这组最新的样本,描述变化和包装机制。我们还将重点介绍新的受害者学,包括欧洲各地的各种目标。

俄语活动

我们在 2021 年首次将威胁行为者 HotCousin 记录为利用 EnvyScout 植入物的恶意活动集群,微软公开将其归因于黑暗光环 (NOBELIUM)。我们最近的调查显示,今年至少从2月份开始,HotCousin试图破坏欧洲,亚洲,非洲和南美洲的外交部。该小组的TTP与我们之前描述的一致。受害者成为鱼叉式网络钓鱼电子邮件的目标,诱使他们挂载恶意 ISO 文件并双击 LNK,从而启动感染链。第一次感染通常旨在安装下载器,该下载程序试图从合法的Web服务下载其他恶意植入物。最终的有效载荷通常是市售的植入物,例如Cobalt Strike。其他供应商也观察到其中一些活动,特别是对从Dropbox,Google Drive和Trello等外部服务获得额外植入物的下载器的描述。在大多数情况下,目标似乎是欧洲的外交和政府组织。我们仍然无法确定HotCousin与Dark Halo/NOBELIUM或The Dukes/APT29之间的任何重要联系;但目标、技术和交易技巧都与公开描述为 APT29 的活动相吻合。

中文活动

2021 年初,卡巴斯基发布了一份关于 A41APT 活动的私人报告。该报告包括该活动中使用的恶意软件的技术细节,例如Ecipekac,SodaMaster,P8RAT,FYAnti和QuasarRAT。我们与研究合作伙伴一起观察了 A41APT 活动在整个 2021 年的活动,并在 2022 年日本安全分析师会议上介绍了这项研究(“我们能做些什么来应对混乱的 A41APT 活动”)。2021 年 12 月,趋势科技还发表了一篇关于他们对 A41APT 活动背后的威胁行为者最新活动的调查的博客文章,他们将其命名为 Earth Tengshe。趋势科技认为,此活动与 APT10 威胁参与者有密切联系。他们的博客文章还引入了新的恶意软件,称为Jackpot – 以前未知的针对IIS服务器的无文件恶意软件。我们的研究结果与趋势科技在一些新的TTP上重叠,例如SodaMaster和Ecipekac的更新版本,以及一个名为IISBack的新恶意无文件IIS模块。但是,我们还发现了一个新的恶意植入程序,自 2015 年以来,该参与者一直使用它来部署 SodaMaster:我们将此模块命名为 HUI 加载器。我们的研究还揭示了该威胁行为者多年来使用的一些恶意软件植入物的演变,例如Ecipekac和SodaMaster。

自 4 月以来,我们检测到许多 KeyPlug 恶意软件样本部署在亚洲国家知名受害者的系统中,其中一些痕迹可以追溯到 2021 年底。KeyPlug是一个模块化后门,能够通过其XOR加密嵌入式配置块中设置的多个网络通信协议与其服务器进行通信。服务器基础设施主要基于 Cloudflare CDN,我们收集的每个恶意软件样本都只包含一个域和多个 IP 地址,这些地址都指向 CDN 网络上的同一域。连接到服务器后,恶意软件会下载更多模块作为插件并将其加载到受害者的计算机上。这些攻击中使用的恶意软件和基础设施与以前已知的 APT41 活动有相似之处。但是,这些攻击只能归因于中等置信度的 APT41;而且也有可能是另一个威胁行为者是攻击的幕后黑手。

我们最近分析了DiceyF使用GamePlayerFramework对在线赌博平台开发工作室和IT招聘组织的目标。这与较旧的 PuppetLoader 代码有关,但已用 C# 重新设计和重写。DiceyF 窃取代码签名证书以对恶意软件进行数字签名,在其恶意软件中嵌入工件和字符串,模仿使用这些证书签名的合法软件,然后通过软件分发服务器分发签名的恶意软件。大多数目标是香港和菲律宾,但也有一些在中国和越南。

三月份,我们观察到在某些攻击中使用Microsoft Word文件作为感染媒介。6月,我们发现了一个使用包含日语内容的诱饵文件的SFX文件。我们还发现了一个新的下载器shellcode,我们称之为DOWNIISSA,用于部署洛德信息后门.虽然目标是日本的,并且与APT10通常的受害者一致,但我们也发现了在俄罗斯和马来西亚可能采取行动的迹象。此外,我们分别在3月、4月和5月研究了新版本的LODEINFO shellcode,即v0.5.9、v0.6.2、v0.6.3和v0.6.5。这些发现表明,APT10似乎已经有一段时间不活跃了,现在已经通过新版本的LODEINFO恢复了活动。

4月,我们的产品在亚太地区的一个外交组织中检测到CobaltStrike装载机,该装载机过去曾被几个APT参与者瞄准。加载程序引起了我们的注意,因为其中一个加载程序显示了来自软件开发公司的合法数字签名,我们提醒了该公司该事件。深入挖掘,我们发现了几种利用HTTP或原始TCP通信协议的变体,并发现了与之相关的开发后活动的痕迹,以及同时使用Radmin和Gh0stRAT。自然语言伪影和弱TTP表明,这次攻击可能归因于讲中文的攻击者,但我们无法将此活动与任何现有群体联系起来。事实上,除了这次事件之外,我们找不到报告中介绍的滴管的任何其他用途。

中东

我们最近发现并分析了FramedGolf,这是一个以前未记录的IIS后门,只能在伊朗找到,旨在在目标组织中建立持久的立足点。值得注意的是,在成功利用Exchange服务器上的ProxyLogon类型漏洞后,已经部署了后门。该恶意软件已被用来危害至少十几个组织,最迟从 2021 年 4 月开始,大多数组织仍在 2022 年 6 月下旬受到攻击。

SoleDragon是SilentBreak威胁组织使用的复杂恶意软件。卡巴斯基于 2018 年首次发现此恶意软件以及 CVE-2018-8453 漏洞。2019年,SoleDragon也通过Skype部署。在那之后,没有关于 SoleDragon 的信息,直到我们在 2021 年底检测到两个新的植入物。这些针对中东组织的植入物与较旧的SoleDragon样本具有代码相似性。新发现的植入物之一是C++后门 SoleExecutor,它等待激活消息,然后接收 DLL 并启动它;另一个植入物是我们称之为Powerpol的键盘记录器。

六月,我们发现了一个以前不为人知的Android间谍软件应用程序,该应用程序针对讲波斯语的人。SandStrike的分发是为了获取在伊朗被禁止的有关巴哈伊宗教的资源。它为受害者提供了可用于浏览这些资源的 VPN 连接。间谍软件本身从受害者的设备中收集各种数据,例如通话记录或联系人列表。在执行过程中,它连接到 C2 服务器以请求命令:这些命令允许攻击者对设备文件系统执行操作。

DeftTorero(又名黎巴嫩雪松,挥发雪松)是一个可能来自中东的 APT 演员,众所周知,他专注于同一地区的受害者。虽然自 2012 年以来一直观察到其活动,但它的存在直到 2015 年才被披露(卡巴斯基是最早报告它的人之一),直到 2021 年 1 月才记录到任何公开活动。迄今为止可用的公开报告公开并讨论了最终的有效载荷 – 爆炸性RAT-以及初始立足点中使用的网络炮弹,几乎没有TTP。我们的报告更侧重于威胁参与者在 2019 年底至 2021 年年中入侵中使用的 TTP。根据我们的遥测数据,2021 年 1 月的指标不一定代表新的入侵或新的恶意软件样本,因为检测相对较旧(2018 年至 2020 年之间),并且 Explosive RAT 样本不包含重大修改。分析以前的入侵,我们怀疑新检测的差距是由于威胁参与者曾经(并且可能仍然)使用许多威胁参与者使用的无文件技术和公共攻击工具,例如Metasploit,Mimikatz,Crackmapexec,已知的Web shell和其他已知工具。这使运营商在妥协目标和受害者时具有一定程度的匿名性。

东南亚和朝鲜半岛

我们观察到最近DeathNote集群的使用有所增加。三月份,我们看到拉撒路用它来对付韩国的受害者。该行为者可能使用了战略性的Web入侵,采用了类似于我们之前报告的感染链,滥用端点安全程序。但是,我们发现恶意软件和感染方案已更新。攻击者使用了多阶段感染,从球拍下载器开始。通过Racket Downloader,运营商部署了额外的恶意软件,用于进一步的利用后活动。在此阶段,参与者使用了我们以前从未见过的恶意软件,从 C2 服务器执行命令的功能很少。使用这种植入的后门,操作员进行了许多动手键盘活动。他们在这个受害者的环境中潜伏了一个月,并执行了各种命令来收集基本的系统信息。此外,我们观察到他们如何尝试寻找具有高权限的有价值的主机,例如文件服务器或Active Directory服务器。Lazarus Group提供了其他恶意软件,例如键盘记录器和密码转储工具来收集更多信息。此外,由于与 KrCERT 密切合作,我们有机会研究对手的 C2 脚本。他们采用了与以前类似的C2结构,破坏了Web服务器并配置了多阶段C2服务器,第一阶段服务器充当代理服务器,第二阶段服务器用于控制受害者。

我们发现了一项针对南非和巴西国防承包商的持续活动。攻击背后的威胁行为者通过社交媒体或电子邮件联系了潜在的受害者,并通过Skype发送了最初的恶意软件。该恶意软件是一个特洛伊木马化的 PDF 应用程序,它启动多阶段感染链,通过 DLL 旁加载技术加载包含 C2 通信功能的其他有效负载。此外,威胁参与者将其他恶意软件部署到初始主机以透视和执行横向移动。在此过程中,操作员利用了名为 ServiceMove 的相对较新的 DLL 旁加载技术。此技术由红队研究人员引入,并滥用 Windows 感知模拟服务加载任意 DLL 文件以用于恶意目的。这个臭名昭著的威胁行为者操作多个集群并根据其意图攻击各种目标。在其中一名受害者中,我们观察到类似的初始感染媒介。但是,该演员使用了不同的恶意软件。拉撒路集团配备了各种工具,并将其用于各种感染链。在检查本例中的所有样本时,我们观察到了不同的集群:ThreatNeedle,Bookcode和DeathNote。

十多年来,热带骑兵APT演员一直积极瞄准东亚和东南亚的受害者。多年来,我们一直在跟踪此威胁行为者,之前发布了一份描述其恶意操作的 APT 威胁报告。今年早些时候,赛门铁克发表了一份报告,描述了一个名为Antlion的活动,该活动被观察到针对台湾的金融机构。在分析此战役的 IoC 时,我们发现与热带骑兵威胁行为者有密切联系,因此我们得出结论,该组织是蚁狮战役的幕后黑手。在我们的调查中,我们发现并研究了该威胁行为者使用赛门铁克博客文章中描述的恶意软件系列进行的不同攻击,以及我们几年前在一份关于 Tropic Trooper 的报告中报告的恶意软件的新版本。我们设法发现了这些攻击的感染链、攻击基础设施、横向移动和该行为者进行的利用后活动。除金融行业外,其他目标垂直行业还包括科技硬件和半导体行业,以及政治实体。此外,我们在 2021 年 8 月发现了一个以前未知的多模块后门,该后门程序部署到受害机器上,该后门使用 MQTT 协议与其 C2 服务器进行网络通信。追踪这个后门的历史,似乎该模块至少自 2019 年以来一直被该威胁行为者使用,并且仅针对一组选定的目标。

Kimsuky 是一个多产且活跃的威胁行为者,主要针对与朝鲜相关的实体。与其他老练的对手一样,该组织也经常更新其工具。但是,最近,我们有机会彻底了解了他们如何配置C2服务器以及他们使用哪种技巧来确认和进一步验证受害者。Kimsuky集团配置了多级C2服务器,并在世界各地提供了各种商业托管服务。我们认为攻击分几个阶段发生。首先,参与者向潜在受害者发送鱼叉式网络钓鱼电子邮件,诱饵下载其他文档。如果受害者单击该链接,则会导致连接到第一阶段 C2 服务器,并将电子邮件地址作为参数。第一阶段 C2 服务器验证传入电子邮件地址参数是否为预期参数,并在恶意文档位于目标列表中时传递恶意文档。第一阶段脚本还将受害者的 IP 地址转发到下一阶段服务器。打开提取的文档时,它将连接到第二个 C2 服务器。第二个 C2 服务器上的相应脚本检查从第一阶段服务器转发的 IP 地址,以验证它是否是来自同一受害者的预期请求。使用此 IP 验证方案,参与者验证传入的请求是否来自受害者。最重要的是,操作员依靠其他几个过程来仔细交付下一个有效载荷。第二个 C2 服务器上的另一个 C2 脚本检查操作系统类型和预定义的用户代理字符串,以过滤掉来自安全研究人员或自动分析系统的请求。我们的研究强调了 Kimsuky 威胁行为者如何密切关注验证合法受害者并向他们提供下一阶段的有效载荷。

继去年我们对Drop Elephant活动的分析报告之后,我们继续跟踪该威胁行为者的活动。该组织在过去一年中一直非常活跃:我们调查了巴基斯坦和中国针对军事、外交和教育机构的多起袭击事件。从我们收集的样本分析中,很明显Drop Elephant并没有丢弃其传统的JakyllHyde RAT(又名BadNews),但在最近的攻击中,我们已经看到了向使用PubFantacy的转变,我们甚至看到JakyllHyde的一些功能被移植到PubFantacy。同时,我们还发现了使用Delphi开发的新恶意软件。掉落大象的主要攻击方法仍然是网络钓鱼和攻击易受攻击的办公套件。在以前使用 CVE-2017-0261 的地方,CVE-2017-11228 取代了它。

其他有趣的发现

7月30日,一位名叫Adastrea的演员在两个暗网论坛上发布了一条消息,称他们正在出售属于MBDA,北约和意大利国防部的60GB机密和限制信息。Adastrea 是一个全新的帐户,将自己定义为网络安全专家和研究人员的独立小组。在 8 月 10 日的另一篇帖子中,该演员提供了据报道从菲律宾窃取的 500MB 军事情报数据。我们无法获取和分析泄漏。在 7 月份的帖子中,威胁行为者还分享了托管在 MEGA 上的演示文件(仅 47MB),并写道他们将在私人聊天中讨论泄漏的价格,共享他们的 XMPP 帐户和 Protonmail 电子邮件地址。在这些声明之后,MBDA在新闻稿中否认有任何妥协。一周后,即 8 月 7 日,威胁行为者发布了泄露数据的新证据。卡巴斯基 ICS-CERT 能够获得部分私有泄露数据,这些数据在卡巴斯基全球研究和分析团队的帮助下进行了分析,以更好地了解威胁参与者发布的论坛帖子的 TTP 和真实性。

我们发现至少自 2020 年 12 月以来,一个以前未知的后门程序正在积极使用。此后门的主要用途是记录和泄露密码,与它利用的安全支持提供程序 (SSP) DLL 的功能相匹配。除了收集的密码外,后门程序还收集有关受感染系统的典型信息,并为攻击者提供多个命令来操作和执行文件。该后门包含一个加密的外壳代码,允许攻击者执行通过加密通道接收的任意代码。我们在日本和埃塞俄比亚发现了非常有限的受害者,并且与以前已知的恶意软件家族或威胁行为者没有联系。

9 月,我们发布了对 Metatron 的分析,这是一个非常复杂的新型恶意软件平台,已用于针对中东和非洲的电信公司、ISP 和大学。Metatron 是一个模块化植入物,通过 Microsoft 控制台调试器脚本引导。后门支持多种传输模式,并提供转发和端口敲击功能:它实现了 67 种不同的命令。原始样品由SentinelOne提供,并与他们合作进行分析.

结语

虽然一些威胁参与者的 TTP 随着时间的推移保持一致,严重依赖社会工程作为在目标组织中站稳脚跟或破坏个人设备的手段,但其他人会更新他们的工具集并扩展其活动范围。我们的定期季度回顾旨在突出APT集团的主要发展。

以下是我们在 2022 年第三季度看到的主要趋势:

  • APT活动在地理上分布非常广泛。本季度,我们看到行为者将攻击范围扩大到欧洲、美国、韩国、巴西、中东和亚洲各地。
  • APT 威胁参与者选择的目标同样多种多样。它们包括政府和外交机构、国防承包商、金融部门、技术硬件和半导体部门以及 IT 招聘和赌博部门。
  • 地缘政治仍然是APT发展的关键驱动力,网络间谍活动仍然是APT活动的主要目标。然而,Andariel 使用勒索软件表明这不是 APT 攻击的唯一动机。

与往常一样,我们会注意到,我们的报告是我们了解威胁形势的产物。但是,应该记住,在我们努力不断改进的同时,总是有可能在其他复杂的攻击下飞行。

免责声明:当将APT群组称为讲俄语、中文或“其他”语的语言时,我们指的是这些群组使用的各种伪影(例如恶意软件调试字符串、脚本中的注释等),其中包含这些语言的单词,基于我们直接获得的信息或以其他方式公开和广泛报道的信息。某些语言的使用并不一定表示特定的地理关系,而是指向这些APT工件背后的开发人员使用的语言。

发表评论

您的电子邮箱地址不会被公开。 必填项已用*标注