2020年度APT攻击回顾

2020年度安全人员跟踪900多个高级威胁活动，可在季度报告中找到详细信息。本文将集中讨论过去12个月中APT攻击的特点。

[[361498]]

Windows之外

Windows仍然是APT的主要关注点，但今年也观察到了许多非Windows的共计活动。例如，Lazarus的MATA恶意软件框架。4月发现MATA扩展到Windows和Linux以外的系统，包括macOS。Lazarus利用宏嵌入的Office文档并根据受害者的系统传播PowerShell或macOS恶意软件。

安全人员发布了Penquin家族分析报告，并在5月发表有关Penquin_x64的技术分析。Penquin_x64是Turla的Penquin GNU/Linux后门变体，分析指出Turla可能会利用Penquin进行除传统情报以外的其他操作。

在2020年第三季度APT趋势报告中描述了TunnelSnake攻击活动。攻击者利用了开源工具Earthworm和Termite，生成远程shell并在主机之间建立隧道通信。这些工具能够在IoT设备等多种体系结构上运行，表明攻击者已经将此类设备作为新的目标。

UEFI固件感染

在针对某次攻击的调查中发现了一个UEFI固件映像，固件模块是基于Vector EDK的bootkit，植入的恶意软件是下载器。通过分析提取恶意软件特征，发现了一系列类似的样本，这些样本自2017年以来一直被用于外交组织，它们的业务逻辑大部分是相同的，但一些附加功能或在实现上有所不同。

手机恶意攻击

今年发现许多针对移动平台的APT组织。今年1月，发现了一个利用了完整远程iOS攻击链的水坑。该网站针对香港用户设计。目前使用的都是已知漏洞，攻击者正在改进漏洞利用工具，以针对更多的iOS版本和设备。它还支持Android、Windows、Linux和macOS等平台。

今年8月，研究人员发表了关于透明部落的第二份分析报告。其中包括该组织用来攻击渗透安卓设备的恶意软件。恶意程序伪装成印度政府开发的Aarogya Setu COVID-19跟踪应用程序，主要针对印度的军事人员，通过WhatsApp、短信、电子邮件或社交媒体发送恶意链接进行传播。

今年6月，观察到一组新的恶意安卓下载程序，这些下载器从2019年12月起就已经出现在网络中，主要针对巴基斯坦。美国NTISB在1月份的一份报告中分析了恶意软件共享相同的C2s，目标是巴基斯坦军方机构，攻击者利用WhatsApp信息、短信、电子邮件和社交媒体作为最初的传播媒介。

官方点名

5月，英国国家网络安全中心(NCSC)和美国国土安全部(DHS)发布联合警告，两国都在调查针对制药公司，医学研究组织和制药公司的网络攻击事件。

7月30日，欧洲理事会对六名个人和三个实体实施制裁，这些个人和实体参与了多个网络攻击活动，制裁包括禁令旅行和资产冻结，禁止欧盟个人和实体向所列人员提供资金。

9月，美国司法部发布了三份黑客起诉书，这些黑客与APT41和其他网络攻击活动有关，包括Barium, Winnti, Wicked Panda，Wicked Spider。美国司法部与马来西亚政府合作之后，两名马来西亚国民于9月14日被捕，罪名是“非法计算机入侵”。根据起诉书中的信息可将这些入侵行为与ShadowPad和ShadowHammer联系起来。

10月，美国司法部起诉六名俄罗斯军官进行了多次网络攻击，其中包括NotPetya，2018年奥林匹克驱逐舰袭击事件以及Novichok中毒事件。英国NCSC还指控俄罗斯的GRU军事情报部门对东京奥运会的官员进行攻击。

“刚刚好”就够了

APT攻击并不总是需要复杂技术，DeathStalker说明了这一点。DeathStalker目标主要集中在律师事务所和金融行业，它收集敏感的商业信息，提供黑客服务，或在金融界充当信息经纪人。

本季度，发现了该组织基于LNK的入侵线索。该组织一直在开发其工具包，采用自2018年以来相同的策略，同时加大了逃避检测的力度。

2020年6月底发现DeathStalker的有趣变化。例如，恶意软件使用嵌入的IP地址或域名直接连接到C2服务器，它使用至少两个DDR或web服务来获取真实的C2 IP地址或域。攻击者并不仅仅局限于发送鱼叉式网络钓鱼邮件，而是通过多封电子邮件积极与受害者接触，说服他们打开诱饵。此外，攻击者在入侵中使用基于Python的恶意工具，这是第一次发现攻击者放弃PE二进制文件作为中间阶段来加载evillum。还发现了该组织自2020年第二季度以来使用的复杂度较低的恶意软件，它依赖于HTTPS上的DNS(DoH)作为C2通道。2020年10月，发现并分析了该组织的PowerPepper工具集的新样本，包括改进的沙盒检测技术。

COVID-19

在COVID-19大流行之后，许多国家采取封锁措施，攻击者不断地利用人们对这种疾病的恐惧发起网络攻击活动。大多数与COVID-19相关的网络钓鱼都是网络犯罪分子为赚钱发起的。但是，据OSINT(开源情报)称，攻击者名单中包括拉扎鲁斯(Lazarus)、响尾蛇(Sidewinder)、透明部落(Transparent Tribe)、第21组(GroupA21)等。研究人员还发现Kimsuky、APT27、IronHusky和ViciousPanda也在使用COVID-19为主题的诱饵来攻击受害者。

在WellMess报告之后，英国国家网络安全中心(NCSC)与加拿大和美国政府发布了一份关于WellMess最新活动报告。这三个国家政府把针对COVID-19疫苗研究的恶意软件归咎于Dukes(又称APT29和Cozy Bear)。

原文链接：securelist