2020年第三季度APT攻擊趨勢分析(上)

2020-12-16 51cto

三年多來,卡巴斯基全球研究與分析團隊(GReAT)一直在持續關注著APT攻擊活動的變化,並且每個季度都發布相關的趨勢報告分析。本文所講的分析都是基於卡巴斯基的網絡攻擊情報研究。本文重點介紹了卡巴斯基在2020年第三季度觀察到的APT攻擊活動。

最顯著的發現

卡巴斯基最近發現了DeathStalker的活動,DeathStalker是一個獨特的網絡攻擊組織,該組織的攻擊目標似乎只是關注律師事務所和金融業公司。該組織對收集敏感業務信息的興趣使卡巴斯基相信,DeathStalker只是一群提供黑客服務的僱傭軍或在金融界充當信息經紀人。這個網絡攻擊者的活動首先通過名為Powersing的基於PowerShell的植入程序引起了卡巴斯基的注意。

本季度,卡巴斯基對DeathStalker基於LNK的Powersing攻擊工作流程的線程進行了分解。儘管整個工具集沒有開創性的內容,但卡巴斯基認為,防禦者可以通過理解成功的網絡攻擊者使用的現代(儘管技術含量低)感染鏈的基礎來獲得很多價值。 DeathStalker目前正在繼續開發和使用這種攻擊技術,且採用了自2018年以來基本相同的策略,同時加大了逃避偵查的力度。 早在今年8月,卡巴斯基對DeathStalker活動的公開報告中就總結了該組織使用的三種基於腳本語言的工具鏈:Powersing,Janicab和Evilnum。

在首次公開關於Evilnum的報告之後,卡巴斯基於2020年6月下旬檢測到一批新的植入程序,顯示出DeathStalker到目前為止的靜態攻擊方式發生了有趣的變化。例如,該惡意程序使用嵌入式IP位址或域名直接連接到C2伺服器,而之前的變體使用了至少兩個死亡解析器(dead drop resolvers ,DDRs)或Web服務(例如論壇和代碼共享平臺) ,以獲取獲取真正的C2的IP位址或域名。

有趣的是,對於此活動,攻擊者不僅將自己限制在發送魚叉式釣魚電子郵件,還通過多封電子郵件積極與受害者互動,誘使他們打開誘餌,以增加遭受網絡攻擊的機會。此外,除了在整個攻擊周期中使用基於python的植入程序之外,無論是在新版本還是舊版本中,這都是卡巴斯基第一次看到攻擊者將PE二進位文件作為中間階段加載Evilnum,同時使用先進的技術來規避和繞過安全產品。

此外卡巴斯基還發現了另一種複雜的但技術含量很低的植入程序,卡巴斯基將其歸因於DeathStalker,因為其傳播工作流使用Microsoft Word文檔,並刪除以前未知的PowerShell植入程序,該植入程序依賴於HTTPS(DoH)上的DNS作為C2通道,卡巴斯基將這種植入程序稱為PowerPepper。

在近期針對目標活動的調查中,卡巴斯基發現了一個UEFI固件映像,其中包含惡意組件,這些惡意組件會將以前未知的惡意程序丟棄到磁碟中。卡巴斯基的分析表明,被發現的固件模塊是基於名為Vector-EDK的已知引導程序,而被丟棄的惡意程序則是其他組件的下載器。通過研究惡意程序的獨特功能,卡巴斯基從研究中發現了一系列自2017年以來一直用於攻擊目標的相似樣本,它們具有不同的感染媒介。

儘管大多數業務邏輯是相同的,但卡巴斯基可以看到其中一些具有附加功能或實現方式不同。因此,卡巴斯基推斷出大部分樣本都來自卡巴斯基稱為MosaicRegressor的更大框架。一些框架組件中的代碼和活動中使用的C2基礎設施中的重疊表明,在這些攻擊背後有一個幕後主使者,可能與使用Winnti後門的組織有聯繫。

歐洲地區的攻擊活動

自發布有關WellMess的初步報告(請參閱2020年第二季度APT趨勢報告)以來,英國國家網絡安全中心(NCSC)已與加拿大和美國政府就涉及WellMess的最新活動發布了聯合技術諮詢。具體來說,三個政府都將針對新冠疫苗研究的惡意程序的使用歸因於Dukes家族(又名APT29和Cozy Bear)。該通報還詳細介紹了在此活動中使用的另外兩個惡意程序,即SOREFANG和WellMail。

鑑於直接的歸因公開聲明,諮詢中提供的新詳細信息以及自卡巴斯基進行初步調查以來發現的新信息,新發布了的報告,以補充卡巴斯基先前對該網絡攻擊的報告。雖然NCSC的公告提高了公眾對最近這些攻擊中使用的惡意程序的意識,但這三個政府的歸因聲明並沒有提供明確的證據供其他研究人員深入研究。因此,卡巴斯基目前無法修改它們的原始聲明;並且卡巴斯基仍然堅持認為WellMess活動是由先前未知的網絡攻擊者進行的。如果發現新的證據,卡巴斯基將調整此聲明。

俄語地區的攻擊活動

今年夏天,卡巴斯基發現了一個未知的多模塊C ++工具集,該工具集可追溯到2018年那次工業間諜活動。到目前為止,卡巴斯基還沒有發現與已知的惡意活動有關代碼、基礎架構或TTP的相似之處。

到目前為止,卡巴斯基認為此工具集及其背後的攻擊組織都是新出現的。其開發者將工具集命名為MT3,基於此縮寫,卡巴斯基將該工具集命名為MontysThree。該惡意程序被配置為搜索特定類型的文檔,包括那些存儲在可移動媒體上的文檔。它包含了正確的俄語的自然語言偽像和一個尋找只存在於Cyrilic版本的Windows目錄的配置,同時顯示了一些偽造的語言標誌,表明是說漢語的人開發的。該惡意程序使用合法的雲服務(例如Google,Microsoft和Dropbox)進行C2通信。

中文地區的攻擊活動

今年早些時候,卡巴斯基在亞洲和非洲的區域政府間組織網絡中發現了一個活躍的,以前未知的隱形植入程序,稱為Moriya。通過使用C2伺服器建立隱蔽通道並將Shell命令及其輸出傳遞給C2,此工具用於控制那些組織中面向公眾的伺服器。使用Windows內核模式驅動程序可以簡化此功能,使用該工具是卡巴斯基正在進行的名為TunnelSnake的活動的一部分。

Rootkit於5月在目標計算機上被檢測到,該攻擊活動最早可追溯至2019年11月,並在最初感染後在網絡上持續了幾個月。卡巴斯基發現另一個工具顯示與這個rootkit有明顯的代碼重疊,這表明開發人員至少從2018年就開始活躍了。由於rootkit和其他橫向移動工具都不依賴於硬編碼的C2伺服器,因此卡巴斯基只能獲得對攻擊者基礎結構的部分預測。也就是說,除了Moriya以外,大多數檢測到的工具都包含專有和知名的惡意程序,這些惡意程序以前曾被說成是使用中文的攻擊者使用的,這為攻擊者來源的分析提供了線索。

在東南亞和東亞,以及非洲,PlugX一直被有效地和大量地使用,在歐洲卻很少被使用。PlugX代碼庫已被包括HoneyMyte,Cycldek和LuckyMouse在內的多個中文APT組使用。政府機構、非政府組織和IT服務組織似乎都是這些攻擊的目標,儘管新的USB傳播功能有機會將惡意程序推向整個網絡,但受到攻擊的MSSPs/IT服務組織似乎是一個定向傳播的潛在攻擊載體,CobaltStrike安裝程序包已推送到多個系統進行初始PlugX安裝。根據卡巴斯基的觀察,上個季度的大部分活動似乎都集中在蒙古、越南和緬甸。到2020年,這些國家使用PlugX的系統至少有幾千個。

卡巴斯基發現一個持續進行的攻擊活動,可以追溯到五月,利用一個新的版本的Okrum後門,Okrum是Ke3chang開發的,Ke3chang組織也被稱為APT15,該組織的攻擊行為於2012年第一次被曝光,該組織當時利用遠程後門攻擊全世界的高價值目標。該組織活動最早可以追溯到2010年,在火眼2013年報告中顯示該組織當時針對的目標為歐洲外交組織。這個更新版本的Okrum使用了一個authenticode籤名的Windows防禦二進位文件,使用了一種獨特的側加載技術。攻擊者使用隱寫術來隱藏防禦者可執行文件中的主要有效載荷,同時保持其數字籤名的有效性,減少被發現的機會。卡巴斯基以前從未見過這種方法在野外被用於惡意目的。目前卡巴斯基已經觀察到一個受害者,該受害者是一家位於歐洲的電信公司。

9月16日,美國司法部(US Department of Justice)公布了三份與黑客有關的起訴書據稱這些黑客與APT41和其他攻擊設備有關,這些設備包括Barium,Winnti,Wicked Panda和Wicked Spider。

此外,在美國司法部與馬來西亞政府(包括總檢察院)合作之後,兩名馬來西亞公民也於9月14日在馬來西亞的Sitiawan被捕,罪名是「密謀從針對視頻遊戲行業的電腦攻擊中獲利」。第一份起訴書稱,被告成立了一家名為「白帽子」的精英網絡安全公司,名為成都404網絡技術有限公司(又名成都思靈思網絡技術有限公司),並以其名義從事針對全球數百家公司的電腦攻擊,他們使用專門的惡意程序進行黑客攻擊,比如網絡安全專家所稱的『PlugX/Fast』、『Winnti/Pasteboy』、『Shadowpad』、『Barlaiy/Poison Plug』和『Crosswalk/ProxIP』。起訴書中包含了幾個間接的IoC,這使卡巴斯基能夠將這些攻擊與近年來發現和調查的兩起大規模供應鏈攻擊行動「ShadowPad」和「ShadowHammer」聯繫起來。

2017年7月,卡巴斯基實驗室研究人員發現了ShadowPad,一種隱藏在伺服器管理程序中的後門程序,全球有數百家企業使用這些伺服器管理程序。這種惡意代碼被植入到這些程序的更新中,而這些程序廣泛應用於金融服務、教育、電信、製造業、能源和運輸行業中。2019年卡巴斯基實驗室發現了一種(APT)攻擊行動,通過供應鏈攻擊影響了大量用戶。研究發現,ShadowHammer行動幕後的威脅攻擊者的攻擊目標為華碩實時更新應用程式的用戶,其至少在2018年6月至11月期間向用戶設備註入了後門程序,危及全球超過50萬用戶的安全。

下一篇文章,我們將介紹APT組織本季度在中東地區的攻擊活動概況。

【責任編輯:

趙寧寧

TEL:(010)68476606】

點讚 0

相關焦點

  • 全球第三季度DDoS報告
    全球第三季度DDoS報告 Lucifer殭屍網絡於上個季度首次出現,它會同時感染Windows和Linux設備,使用TCP,UDP,ICMP,HTTP協議並欺騙流量源的IP位址。
  • 2020年第三季度晚間新節目觀察
    2020年,在電視節目創新市場經歷了艱難、彷徨、奮起,但見風雨後的新生和希望。本文以2020年第三季度71城市[1]市場中晚間播出的新節目[2]為分析對象,從播出、收視方面梳理分析。但中央級和省級衛視的非常態新節目數量佔比分別由2018年第三季度的5.8%和9.2%增至2020年第三季度的9.2%和17.1%,在非常態節目領域的創新力度明顯加大。與之相反,包括省級地面和市級地面在內的地面頻道,第三季度在常態節目創新領域持續發力,常態新節目數量佔比較上兩年同期均有增長,但非常態節目的創新量佔比呈現下滑之勢(圖2)。
  • 康寧公布2020年第三季度財務業績
    年9月30日第三季度的強勁財務業績。康寧確認了新整合後的Hemlock在第三季度的銷售額為3100萬美元。  董事會主席兼執行長魏文德表示:「第三季度我們在財務和運營方面都有非常強勁的表現。銷售和營業收入的增長得益於需求的增長和對創新的商業化應用。在我們服務的所有行業中,重要的市場趨勢提供給我們獨家擅長的新機會,同時我們也通過在人們已購買的產品中不斷增加康寧的新應用和新產品,以支持客戶發展。」
  • 2020年第三季度業績會講稿
    2020年第三季度,隨著用戶對在線寓教於樂形式的接受程度日漸提升,我們繼續運用高品質的優質教育內容和技術創新優勢,迅速擴大我們的線上服務業務。剛剛池總有講到,第三季度我們的線上學習服務收入達到1.2億元人民幣,是去年同期的4倍。取得這一成績主要是基於我們線上產品打造的交互沉浸式的學習體驗以及我們對兒童教育的深刻理解。
  • AppAnnie發布2020年第三季度移動應用市場報告
    ·2020年第三季度移動應用使用量同比激增25% ·2020 年第三季度全球用戶的新應用下載量達到 330 億次 ·2020 年第三季度,應用中的用戶支出達到創紀錄的 280 億美元 2020年10月13日,北京——AppAnnie
  • 上海財經大學發布2020年第三季度中國宏觀經濟形勢分析與預測報告
    原標題:上海財經大學發布2020年第三季度中國宏觀經濟形勢分析與預測報告   上海財經大學10月27日舉行2020年第三季度中國宏觀
  • 極光(JG.US)公布2020年第三季度財報
    2020年11月25日,中國深圳——中國領先的移動開發者服務提供商極光(Aurora Mobile,納斯達克股票代碼:JG)(以下稱「極光」或「公司」)今日公布截至2020年9月30日第三季度未經審計的財報。2020年第三季度核心財務數據(只含SAAS 業務#)●收入為6,560萬元人民幣(970萬美元),同比增長18%。
  • Check Point:2020 年第一季度品牌網絡釣魚報告
    是基於電子郵件的網絡釣魚攻擊最常模仿的品牌,而Netflix則是基於移動應用的網絡釣魚攻擊模仿最多的品牌  全球領先網絡安全解決方案提供商 CheckPoint® 軟體技術有限公司(納斯達克股票代碼:CHKP)的威脅情報部門CheckPointResearch發布了其新版《 2020 年第一季度品牌網絡釣魚報告》。
  • 和濟醫院召開2020年第三季度醫療質量與安全管理分析反饋會
    黃河新聞網長治訊:11月24日,長治醫學院附屬和濟醫院召開以「住院病曆書寫規範」為主題的2020年第三季度醫療質量與安全管理分析反饋會,院長郝少峰,副院長王培龍,分管領導牛曉紅以及質控辦、醫務科、護理部等相關職能科室主任、臨床醫技科室主任、護士長、質控醫師近百餘人參加了會議
  • 2020年第一季度中國護膚品行業網絡關注度分析報告
    據國家統計局數據顯示,2020年3月,全國化妝品零售額為249億元,同比下降11.6%;2020年一季度全國化妝品零售額為636億元,與去年同期相比下降13.2%。醫學美學美容雜誌社聯合微熱點大數據研究院推出《2020年第一季度中國護膚品行業網絡關注度分析報告》,在傳播大數據視角下對護膚品行業、護膚品牌進行分析。
  • 易觀分析:2020年第3季度中國網際網路婚戀交友市場規模達12.06億元
    文/羊城晚報全媒體記者 沈釗12月7日,第三方數據調研機構易觀分析發布了《2020年Q3婚戀行業數位化進程分析》。內容顯示,2020年第三季度,中國網際網路婚戀交友市場規模以1.3%的環比增速達到12.06億人民幣。本季度,在線婚戀交友行業繼續深耕直播,通過「直播+婚戀報告發布」、「直播+會員服務銷售」等更多新玩法,不斷創新服務模式。
  • 2020-Q3護膚市場分析,哪些趨勢值得關注?
    轉眼間,2020年第三季度已經結束。在剛過去的這三個月中,國內線上護膚市場呈現什麼樣的趨勢?相比於上個季度,又出現什麼樣的變化呢?今天,小編就為大家分享一下《2020-Q3線上護膚市場趨勢季度榜》,並從品類、功效、成分、宣稱等多方面為大家進行分析與解讀。
  • Gucci榮獲Lyst 2020年第三季度全球最熱門品牌
    (原標題:Gucci榮獲Lyst 2020年第三季度全球最熱門品牌)
  • 京東(JD)2020年第三季度收益電話會議記錄
    京東(NASDAQ:JD)於2020年11月16日發布的2020年第三季度收益電話企業參與者:李瑞玉- 投資者關係高級總監徐y然- 年第三季度收益電話會議做準備。對於今天的議程,桑迪將討論2020年第三季度的重點,其他管理層也將參加問答環節。在繼續之前,我請您參考收益新聞稿中的"安全港"聲明,該聲明適用於此收益電話,因為我們將做出前瞻性聲明。此外,此次電話會議還討論了某些非GAAP財務指標。請參閱我們的收益發布,其中包含非GAAP指標與最直接的可比GAAP指標的對帳。
  • 2020年中國果汁飲料市場現狀調研與發展趨勢預測分析報告
    《2020年中國果汁飲料市場現狀調研與發展趨勢預測分析報告》在多年果汁飲料行業研究結論的基礎上,結合中國果汁飲料行業市場的發展現狀,通過資深研究團隊對果汁飲料市場各類資訊進行整理分析,並依託國家權威數據資源和長期市場監測的資料庫,對果汁飲料行業進行了全面、細緻的調查研究。
  • [HK]萬國數據-SW:2020年第三季度業績公告
    較上一季度增加主要是由於上一季度計費面積的增長(包括於 2020年 6月 5日完成的北京 10號、11號、12號(「BJ10/11/12」)收購事項)帶來的整個季度收入貢獻及 2020年第三季度計費面積淨增長 16,589平方米的貢獻,主要與崑山 2號(「KS2」)、北京 6號(「BJ6」)、北京 12號(「BJ12」)及廊坊 7號(「LF7」
  • 2020-2026年中國銀行行業全面調研及發展趨勢分析報告
    受**半年受投資淨收益同比增速低於**季度影響,其他非息收益同比增速較**季度下降。行業估值處於歷史低位。**半年上市銀行密集補充資本金,未來資產擴張有望支撐業績保持穩健增長。截止**月**日,銀行Ⅲ(申萬)PBLF為0.79倍,處於近**年歷史低位。
  • Facebook關閉了APT32在網絡攻擊中使用的帳戶
    Facebook已經關閉了其平臺上的幾個帳戶,越南的APT32組織和一個位於孟加拉國的不知名的威脅組織,這兩個網絡犯罪集團利用這些帳戶和頁面發起了釣魚攻擊和惡意軟體攻擊。這家社交媒體巨頭表示,現在已經禁止了這兩個團夥濫用平臺、傳播惡意軟體和攻擊其他帳戶的行為。
  • 2020年第三季度中國家電行業發展現狀分析 疫情後期復甦明顯
    《2020第三季度中國家電市場報告》顯示,今年7-9月,我國家電市場零售額規模為2102億元,比去年同期微增1.6%。線下家電市場逐步走出疫情影響,復甦明顯;線上市場保持良好發展勢能,增速反彈,線上線下齊頭並進,使整體市場穩定在2000億元以上,體現了我國家電市場的強大韌性和活力。
  • 2020-2026年中國發酵製品行業現狀調研分析及發展趨勢研究報告
    《2020-2026年中國發酵製品行業現狀調研分析及發展趨勢研究報告》在多年發酵製品行業研究結論的基礎上,結合中國發酵製品行業市場的發展現狀,通過資深研究團隊對發酵製品市場各類資訊進行整理分析,並依託國家權威數據資源和長期市場監測的資料庫,對發酵製品行業進行了全面、細緻的調查研究。