卡巴斯基 | 2020年Q1 APT趋势报告

发布时间 2020-05-01

卡巴斯基发布2020年第一季度的APT组织活动的趋势报告,主要说明重大的APT活动以及研究发现。


0x00 COVID-19 APT活动


自世界卫生组织(WHO)宣布COVID-19成为瘟疫以来,这一话题已受到不同攻击者越来越多的关注。许多网络钓鱼诈骗都是由网络犯罪分子发起的,他们试图利用人们对病毒的恐惧来获利。但是,攻击者列表中还包括APT组织,例如Kimsuky,APT27,Lazarus或ViciousPanda,根据OSINT,他们以COVID-19作为诱饵瞄准受害者。我们最近发现了可疑的基础设施可用于针对包括WHO在内的卫生和人道主义组织。据一些私人消息来源称,尽管基础设施目前无法归因于任何特定的组织,并且已在2019年6月COVID-19危机之前注册,但它可能与DarkHotel有关。但是,我们目前无法确认此信息。有趣的是,一些组织利用当前情况来宣布他们在危机期间不会针对卫生组织。


0x01 最值得注意的趋势


2020年1月,我们发现一个水坑攻击利用完全的远程iOS漏洞。这个网站的目的是根据目标网页的内容来定位中国香港的用户。虽然当前正在使用的漏洞利用程序是已知的,但负责人员正在积极修改漏洞利用工具包,以针对更多的iOS版本和设备。我们在2月7日观察到了最新的版本。该项目比我们最初想象的要广泛,它支持Android植入,并且可能支持Windows,Linux和MacOS的植入。目前,我们将此APT组织称为TwoSail Junk。我们认为这是一个中文组织,它主要在中国香港维护基础设施,并在新加坡和上海设有几个主机。TwoSail Junk通过在论坛发布链接或创建自己的新主题来将访问者引导至其利用站点。至今,记录了来自中国香港的数十次访问,其中一对来自中国澳门。


0x02 俄语相关的APT组织活动


1月,在一家东欧电信公司中发现了几个最近编译的SPLM/XAgent模块。最初的进入点是未知的,它们在该组织内的横向运动也是未知的。与过去的Sofacy活动水平相比,几乎无法识别SPLM感染,因此似乎该公司内网可能已经感染了一段时间。除了这些SPLM模块之外,Sofacy还部署了.NET XTUNNEL变体及其加载程序。与过去的XTUNNEL样本(重量为1-2MB)相比,这些20KB的XTUNNEL样本本身似乎很少。long-standing Sofacy XTunnel代码库向C#的转变使我们想起Zebrocy重新编码和使用多种语言来创新长期使用的模块的做法。


Gamaredon是一个知名的APT组织,至少从2013年开始活跃,攻击目标主要针对乌克兰。近几个月来,我们发现了一个攻击活动,攻击者通过远程模板注入发送恶意文档,从而部署恶意加载程序,该加载程序会定期与远程C2联系以下载其他样本。根据之前的研究,Gamaredon的工具包包含许多不同的恶意软件,用于实现不同的目标。其中包括扫描驱动器中的特定系统文件,捕获屏幕快照,执行远程命令,下载其他文件以及使用UltraVNC等程序管理远程计算机。在这种情况下,我们观察到一个有趣的新的第二阶段payload,其具有传播功能,我们称之为“Aversome infector”。该恶意软件可在目标网络中保持持久性,并通过横向移动感染外部驱动器上的Microsoft Word和Excel文档。


0x03 中文相关的 APT 组织活动


CactusPete是一个与中文相关的网络间谍组织,至少从2012年开始活跃,其特征是具有中等水平的技术能力。从历史上看,攻击目标主要针对韩国,日本,美国和中国台湾等少数国家/地区的组织。在2019年底,该组织似乎转向关注蒙古和俄罗斯,并使用蒙古语编写了一个诱饵攻击文档可释放Flapjack后门(tmplogon.exe,主要针对新的俄罗斯目标)。可见该组织拓展了技术范围,并且使用的资源和方法也发生了变化。


自2018年以来,Rancor是一个已经公开报道的组织,与DragonOK有关联。攻击目标专注于东南亚,即柬埔寨,越南和新加坡。我们注意到该组织在过去几个月中的活动有几处更新,发现了Dudell恶意软件的新变种ExDudell,ExDudell可以绕过UAC(用户帐户控制)并且用于攻击的新的基础架构。除此之外,我们还确定了以前通过邮件发送的初始诱饵文档现在可在Telegram Desktop目录中找到,这表明该组织可能正在改变其初始投递方式。


在2019年,我们检测到一个未知组织的活动,当时是在代表藏族利益的网站上的水坑攻击活动,欺骗受害者安装在GitHub存储库上托管的假Adobe Flash更新。卡巴斯基通过与GitHub合作来防御攻击。没过多久,我们又检测到新一轮水坑攻击。我们决定将此活动的组织命名为“Holy Water”。


自成立之日起,攻击者简单而富有创意的工具就在不断开发和更新中,并利用了Sojson混淆,NSIS安装程序,Python,开源代码,GitHub发行版,Go语言以及Google Drive等技术手段。


0x04 中东地区的 APT 活动


我们最近在2020年2月检测到了StrongPity组织针对土耳其的数据泄露活动。尽管StrongPity的TTP在目标,基础设施和感染媒介方面没有改变,但我们观察到他们试图泄露的文件有所不同。在此活动中,StrongPity更新了最新的签名后门,名为StrongPity2,并添加了更多文件以植入其常见的Office和PDF文档列表,包括用于希伯来点缀的Dagesh Pro字处理器文件,用于河流流量和桥梁建模的RiverCAD文件,纯文本文件,归档文件以及GPG加密文件和PGP密钥。


3月,我们发现了WildPressure组织针对工业领域分发Milum木马的活动,旨在对目标组织中的设备进行远程控制。该活动最初可以追溯到2019年8月。到目前为止,我们看到的Milum示例与任何已知的APT活动没有任何代码相似性。该恶意软件使攻击者可以远程控制受感染的设备,允许下载和执行命令,收集和泄露信息以及在恶意软件中安装升级程序。


在2019年12月下旬,卡巴斯基Threat Attribution Engine检测到Zerocleare的新变体Dustman,被用于针对沙特阿拉伯能源部门的攻击。在擦除和分发方面,它与Zerocleare相似,但是变量和技术名称的变化表明,这可能已经准备好迎接针对恶意软件的新一波攻击,这些攻击基于嵌入在恶意软件中的消息和创建的互斥体,专门针对沙特阿拉伯的能源部门。通过它。有关Dustman的PDB文件表明,该破坏性代码是发行版,可以在目标网络中部署。这些变化恰逢新年假期,在此期间许多员工正在休假。


0x05 东南亚和朝鲜半岛的APT活动


意大利安全公司Telsy在2019年11月概述了Lazarus组织的活动,使我们能够将针对加密货币业务的先前活动联系起来。Telsy博客上提到的恶意软件是第一阶段下载程序,自2018年中以来一直被观察到。我们发现第二阶段恶意软件是Manuscrypt的变体,它是Lazarus的独有属性,其部署了两种类型的payload。第一个是可操纵的Ultra VNC程序,第二个是多级后门程序。这种类型的多阶段感染过程是Lazarus组织恶意软件的典型特征,尤其是使用Manuscrypt变体。在此活动中,Lazarus组织攻击了塞浦路斯,美国,中国台湾和中国香港的加密货币业务,该活动一直持续到2020年初。


自2013年以来我们一直跟踪的组织Kimsuky在2019年尤其活跃。12月,微软撤销了该组织使用的50个域,并在弗吉尼亚州法院对攻击者提起了诉讼。但是,该小组继续开展活动,没有发生重大变化。我们最近发现了一个新的活动,其中使用了以新年问候为主题的诱饵图片,该图片为旧下载工具提供了新的经过改进的下一阶段payload,旨在利用新的加密方法来窃取信息。


1月底,我们发现了利用Internet Explorer漏洞(CVE-2019-1367)的恶意脚本。在仔细检查payload并发现与先前活动的联系之后,我们得出结论,DarkHotel支持此活动,该活动可能自2018年以来一直在进行。该活动看到DarkHotel利用开发的软件实现了多阶段二进制感染。最初的感染会创建一个下载程序,该下载程序将获取另一个下载程序以收集系统信息,并仅为高价值受害者获取最终的后门程序。DarkHotel在此活动中使用了TTP的独特组合。威胁者使用各种基础结构来托管恶意软件并控制受感染的受害者,包括受感染的Web服务器,商业托管服务,免费托管服务和免费源代码跟踪系统。


3月,来自Google的研究人员透露,一组黑客在2019年使用了五个0day攻击目标针对朝鲜人和以朝鲜人为中心的专业人员。该小组利用Internet Explorer,Chrome和Windows中的漏洞来进行网络钓鱼和分发电子邮件,这些电子邮件中包含恶意附件或与恶意链接以及水坑攻击。我们能够将其中的两个漏洞分别为IE中的一个漏洞和Windows中的一个漏洞与DarkHotel组织匹配上。


FunnyDream组织活动始于2018年中,针对马来西亚,中国台湾和菲律宾的知名组织,其中大多数受害者来自越南。分析表明,这只是一项更广泛攻击活动的一部分,该活动可以追溯到几年前,并针对东南亚国家的政府特别是外国组织。攻击者的后门从C2下载文件和向C2上传文件,执行命令并在受害者系统中运行新进程。它还收集有关网络上其他主机的信息,并通过远程执行应用程序将其传递给新主机。攻击者还使用了RTL后门和Chinoxy后门。自2018年年中以来,C2基础设施一直处于活跃状态,并且domains与FFRAT恶意软件家族重叠。


Operation AppleJeus是Lazarus最有影响力的活动之一,主要利用MacOS恶意软件进行攻击。1月份的后续研究揭示了该组织攻击方法的重大变化:新开发的macOS恶意软件和一种身份验证机制,可以谨慎地交付下一阶段的payload,以及在不接触磁盘的情况下加载下一阶段的payload。为了攻击Windows受害者,该组织制定了一个多阶段感染程序并更改了最终payload。我们认为,自从AppleJeus活动以来,Lazarus在攻击方面更加谨慎,并采取了多种方法来避免被发现。我们在英国,波兰,俄罗斯和中国确定了几名受害者。此外,我们能够确认一些受害者与加密货币组织有关。


Roaming Mantis是一个出于经济动机的APT组织,于2017年首次报道,当时该公司使用SMS将其恶意软件分发给位于韩国的Android设备。后来该组织的活动范围扩大,支持27种语言,以iOS和Android为目标,甚至挖掘加密货币。该组织还使用了新的恶意软件家族,包括Fakecop和Wroba.j,并且仍在使用“SMiShing”进行Android恶意软件分发。在最近的一项活动中,它分发了伪装成受欢迎的快递公司的恶意APK,主要针对日本,中国台湾,韩国和俄罗斯。


0x06 其它


TransparentTribe于2019年初开始使用名为USBWorm的新模块,并对其名为CrimsonRAT的自定义.NET工具进行了改进。根据我们的遥测发现,USBWorm被用来感染成千上万的受害者,其中大多数位于阿富汗和印度,使攻击者能够下载和执行任意文件,传播到可移动设备并从受感染的主机窃取感兴趣的文件。正如我们之前报道的那样,该小组主要关注军事目标,这些目标通常受到Office文档中恶意VBA和Peppy RAT、CrimsonRAT等开源恶意软件的攻击。最近的新活动中,我们注意到该小组的重点更多地转向了针对印度以外的阿富汗。


在2019年的最后几个月中,我们观察到了Fishing Elephant正在进行的一项活动。该小组继续使用Heroku和Dropbox来交付其选择的工具AresRAT。我们发现,参与者在其操作中采用了一项新技术,该技术旨在阻止手动和自动分析geo-fencing和将可执行文件隐藏在证书文件中。在我们的研究过程中,我们还发现受害者的变化可能反映了攻击者的当前利益,该组织的目标是土耳其,巴基斯坦,孟加拉国,乌克兰和中国的政府和外交机构。


0x07 结语


尽管威胁形势并不总是充满“突破性”事件,但当我们将目光投向APT威胁行为者的活动时,总是会有有趣的发展。我们的定期季度审查旨在强调关键的发展。


这些是到目前为止我们今年已经看到的一些主要趋势。

● 地缘政治仍然是APT活动的主要助推力。

● Lazarus和Roaming Mantis的活动证明,经济利益仍然是某些攻击者的动机。

● 就APT活动而言,东南亚是最活跃的地区,包括Lazarus,DarkHotel和Kimsuky等组织,以及Cloud Snooper和Fishing Elephant等新兴组织。

● APT组织,例如CactusPete,TwoSail Junk,FunnyDream和DarkHotel,继续利用软件漏洞。

● APT组织继续将mobile implants纳入其武器库。

● APT组织(例如但不限于Kimsuky,Hades和DarkHotel)以及机会主义罪犯正在利用COVID-19。


总而言之,我们看到了亚洲攻击活动的持续增长,使用移动平台感染和传播恶意软件的趋势正在上升。


目前,COVID-19受到每个人的关注,而APT组织也一直在尝试在鱼叉式网络钓鱼活动中利用这一主题。我们认为这并不代表TTP发生了有意义的变化:他们只是将其用作具有新闻价值的话题来吸引受害者。但是,我们正在密切监视局势。


0x08 参考链接


https://securelist.com/apt-trends-report-q1-2020/96826/


0x09 时间线


2020-05-01  VSRC发布报告