东南亚和朝鲜半岛地区的APT攻击趋势分析
研究人员发现,Kimsuky组织在其最新的针对韩国股票交易应用程序的活动中采用了一种新方法来传播其恶意程序。研究人员发现在此活动中,从2020年12月开始,该组织攻击了一个属于股票交易程序供应商的网站,攻击者用一个恶意程序替换了托管安装包。 Kimsuky还利用包含与COVID-19相关的诱饵恶意韩文(HWP)文档讨论了政府救济基金,从而传播了其恶意程序。这两种感染载体最终都会释放Quasar RAT,Quasar是一种公开可用的开源远程访问木马,主要针对Windows操作系统,Quasar通过恶意附件在网络钓鱼电子邮件中传播。与Kimsuky上次报告的由各种脚本组成的感染链相比,该新方案增加了复杂性,并引入了非常不受欢迎的文件类型,涉及带有嵌入式C#代码的VBS脚本,XML和可扩展样式表语言(XSL)文件,以获取并执行暂存器和有效载荷。根据诱饵文件和受攻击安装程序包的功能,研究人员得出结论,此攻击是出于经济动机,正如研究人员先前所报道的那样,这是Kimsuky的攻击者主要关注的领域。
1月25日,Google攻击分析组织(TAG)宣布,与朝鲜相关的攻击组织以安全研究人员为目标发起攻击。根据Google TAG的博客,研究人员分析该攻击组织使用了高度复杂的社交工程手段,通过社交媒体与安全研究人员联系,并提供了遭到攻击的Visual Studio项目文件,或将他们引诱到他们的博客中诱导受害目标安装Chrome漏洞利用程序。 3月31日,Google TAG发布了此活动的更新,攻击组织又更新了另一波虚假的社交媒体资料,以及攻击组织在3月中旬成立的公司。研究人员可以确认博客上的几个基础架构与研究人员先前发布的有关Lazarus组织的ThreatNeedle组织的报告内容相重叠。此外,谷歌提到的恶意程序与ThreatNeedle(研究人员自2018年以来一直在跟踪的恶意程序)相匹配。在调查相关信息时,一位外部研究员也确认他也受到了这种攻击的影响,并共享信息供研究人员调查。从受感染主机解密配置数据后,研究人员发现了其他C2服务器。在调查过程中,服务器仍在使用中,并且研究人员能够获取其他数据,分析服务器上存在的日志和文件。研究人员发现,已发布的基础结构不仅用于针对安全研究人员,而且还用于其他Lazarus攻击。在研究人员进行研究时,他们发现有大量的主机与C2通信。你可以点击此处阅读研究人员的公开报告。
在研究人员先前使用ThreatNeedle对Lazarus攻击国防工业的攻击进行调查之后,研究人员发现了另一个名为CookieTime的恶意程序组织,该组织在一个主要针对国防工业的活动中使用。研究人员检测到2020年9月和11月的活动,样本可追溯到2020年4月。与Lazarus组织的已知恶意程序组织相比,CookieTime显示出了不同的结构和功能。该恶意程序使用HTTP协议与C2服务器通信。为了将请求类型传播到C2服务器,它使用编码的cookie值并从C2服务器获取命令文件。 C2通信利用了隐写技术,该技术以受感染的客户端与C2服务器之间交换的文件形式来发起攻击。伪装成GIF图像文件内容,但包含来自C2服务器的加密命令和命令执行结果。通过与本地CERT紧密合作,研究人员可以删除攻击时使用的基础架构,这样就有机会研究命令和控制脚本。恶意程序控制服务器以多阶段方式配置,并且仅将命令文件传播给有攻击目标的主机。
在调查越南政府认证局(VGCA)网站上的供应链攻击的工具时,研究人员发现第一个木马程序包可追溯到2020年6月,它是使用PhantomNet恶意程序部署的插件进行传播的。研究人员对这些插件的分析表明,它与先前分析的CoughingDown恶意程序相似。研究人员通过分析攻击中使用的每个攻击工具以及该攻击组织库中的其他工具,已经明白了其攻击原理。最后,研究人员还根据最新发现探索了CoughingDown发生的原因。
2月10日,DBAPPSecurity发布了他们去年12月发现的零日攻击的详细信息。除了漏洞利用程序本身的攻击细节外,研究人员还提到BitterAPT在野外使用了该漏洞利用程序。尽管在初始报告中没有提供任何相关后续信息来解释发生的原因,但研究人员对此活动的调查证实,该漏洞实际上仅由该攻击组织使用。研究人员为利用此漏洞的活动以及其他针对巴基斯坦和中国政府和电信公司的工具起了一个名称——TurtlePower。研究人员还将此漏洞的出现与他们称为Moses的攻击联系了起来。过去两年中,Moses至少主导开发了五种修复程序。到目前为止,研究人员还能够将其中一些漏洞利用与至少两个不同的攻击组织(BitterAPT和DarkHotel)联系起来。目前,尚不清楚这些攻击组织是如何通过直接购买或其他第三方提供商从Moses获取攻击的。在TurtlePower活动中,BitterAPT对受害目标使用了各种各样的工具,包括一个名为ArtraDownloader的第一阶段有效载荷,一个名为Splinter的第二阶段有效载荷,一个名为SourLogger的键盘记录程序,一个名为SourFilling的信息窃取程序以及Mimikatz的变体,这样做的目的就是收集特定的信息、文件并保持其访问权限。这项特别活动似乎也只针对巴基斯坦和中国境内的目标。研究人员可以使用他们自己的数据来验证针对巴基斯坦境内的特定攻击,CVE-2021-1732的使用在2020年6月至7月达到顶峰,但活动仍在进行中。
在2020年,研究人员观察到与“ Dropping Elephant”(又名Patchwork,Chinastrats)有关的新一波攻击,重点针对中国和巴基斯坦的目标。研究人员还注意到了该组织的传统业务范围以外的一些目标,即对中东以及对非洲大陆的兴趣日益增长。攻击发生在该组织完善的TTP之上,其中包括使用旨在利用微软 Office中的远程执行代码漏洞的恶意文档以及在后期感染阶段签名的JakyllHyde(又名 BadNews)木马。 Dropping Elephant为JakyllHyde引入了一种新的加载程序,研究人员将其命名为Crypta。该恶意程序包含阻碍检测的机制,并且似乎是该APT攻击组织最近的工具集的核心组成部分。在加载大量后续有效载荷(例如Bozok RAT,Quasar RAT和LokiBot)的情况下,已观察到Crypta及其变体。研究人员研究期间发现的另一个木马是PubFantacy。据研究人员所知,对此工具的研究结果从未被公开过,并且至少从2018年开始就已被用于攻击Windows服务器。
研究人员最近发现了SideWinder攻击组织在2018-2019年使用的一个以前未知的Android植入程序,研究人员将其称为BroStealer。 BroStealer植入程序的主要目的是从受害者的设备中收集敏感信息,例如照片、SMS消息、通话记录和来自各种消息传播应用程序的文件。尽管SideWinder使用Windows平台开展了许多针对受害者的活动,但最近的报告显示,该攻击组织也通过移动平台攻击了目标。
其他有趣的发现
在2019年2月,多家网络安全公司监测到了一系列恶意程序样本,其中大多数与各种已知的APT组织相关。其中一些样本无法与任何已知活动相关联。由于攻击技术的先进性,其中一些还引起了研究人员的特别注意。尽管研究人员还没有发现与任何其他已知恶意程序共享代码,但样本的编码模式、样式和技术却出现了互相重叠的现象,这在Lambert的各个家庭中都可以看到。因此,研究人员将此恶意程序命名为Purple Lambert。 Purple Lambert由几个模块组成,负责监控网络目标。它能够为攻击组织提供有关受感染系统的基本信息,并执行接收到的有效载荷。它的功能使研究人员想起了另一个Gray Lambert。事实证明,Gray Lambert在多次攻击中都替代了内核模式的White Lambert植入程序。此外,Purple Lambert显示出的功能类似于Grey Lambert和White Lambert,但本质上还是有所不同。
总结
尽管某些攻击组织的TTP(战术、技术和过程)随时间推移一直在演变,但其攻击的成功性严重依赖于社会工程学,随着其他攻击组织迭代已有的工具集并扩大他们的攻击范围,相应的攻击趋势也发生了变化。以下是研究人员在2021年第一季度看到的主要趋势:
研究人员在本季度发现的最主要的攻击也许是SolarWinds攻击。 SolarWinds再次向人们展示了供应链攻击的复杂攻击程度,特别是这次攻击显示出了攻击组织正在付出更多努力以进行更好的隐藏并保持持久性攻击。由于在SolarWinds产品中发现了非常多的零日漏洞,因此研究人员仍在调查这种攻击的范围。
另一个关键的攻击趋势是多个攻击组织正利用微软 Exchange的零日漏洞。最近,研究人员发现了另一个利用这些漏洞的攻击。此外,Lazarus组织还利用了浏览器中的零日漏洞来攻击其目标。
本文翻译自:https://securelist.com/apt-trends-report-q1-2021/101967/如若转载,请注明原文地址。
文章来源网络,作者:运维,如若转载,请注明出处:https://shuyeidc.com/wp/152796.html<
