卡巴斯基實驗室:2020Q2 APT趨勢報告

卡巴斯基全球研究與分析團隊（GReAT）三年多以來一直在發布高級持續性威脅（APT）活動的季度報告。這些報告基於我們的威脅情報研究，提供了我們在私有APT報告中已經發布和詳細討論的部分內容摘要，以突出展示我們認為大家應該關注的重大事件和發現。

這是我們系列報告的最新一期，重點關注我們在2020年第二季度期間觀察到的活動。

二、顯著發現

5月11日，總部位於英國的超級計算中心ARCHER宣布將在調查安全事件期間關閉對網際網路的訪問。其網站表明，「ARCHER設施是基於提供核心計算資源的Cray XC30超級計算機，共有4920個節點」。與此同時，總部位於德國的bwHPC也宣布發生一起安全事件，並決定限制對其資源的訪問。瑞士國家超級計算機中心在參與一項新冠病毒小膜蛋白研究項目的過程中，宣布他們以及其他歐洲高性能計算機設備遭受到攻擊，並且已經暫時關閉。根據其報告，EGI計算機安全和應急響應團隊（EGI-CSIRT）在5月15日發布了一條警報，該警報涉及兩起事件，根據報告，這些事件可能相關，也可能彼此無關。這兩起事件都是攻擊者利用學術數據中心進行CPU挖礦活動。在警報中，包括大量威脅指標，這些威脅指標可以作為對其他開源情報（OSINT）的補充。儘管我們無法確定ARCHER和EGI-CSIRT所描述的事件是否彼此相關，但我們存在這樣的懷疑。一些媒體推測，所有這些攻擊活動可能都與在超級計算中心開展的COVID-19研究有關。

值得關注的是，在2020年7月16日，NCSC發布了一份通報，描述了針對COVID-19疫苗研究機構開展的惡意活動。在惡意活動中，攻擊者使用的惡意軟體屬於一個名為WellMess的家族，LAC Co在2018年曾首次對該家族惡意軟體進行過分析。直到最近，該惡意軟體才被證明與任何APT活動之間都沒有關聯。令人驚訝地是，NCSC將惡意活動歸因於APT-29威脅參與者，但沒有提供任何公開的證據。

根據我們的研究，我們可以確認WellMess惡意軟體的活動似乎呈現一個周期的趨勢，自發現以來，大約每三個月就在惡意活動中使用一次。我們觀察到該惡意軟體在2019年秋季呈現活動的高峰，隨後在2020年2月增加了C2的數量。我們還觀察到一些高價值目標，包括中東、北非和歐盟的電信公司、政府和承包商。然而，在我們看來，目前還無法確定有攻擊者針對衛生機構的目標發動專門的攻擊。

有關WellMess的更多詳細信息，大家可以在這裡查看GReAT此前的演示：https://youtu.be/xeTYLRCwnFo 。

三、使用俄語的惡意活動

今年5月，Leonardo的研究人員發表了一份有關「Penquin_x64」的報告，Penquin_x64是Turla的Penquin GNU/Linux後門程序的變種，此前沒有被發現過。卡巴斯基公開記錄了Penquin惡意軟體家族，並追溯到其在1990年代在針對Unix的Moonlight Maze惡意活動中使用的歷史版本。我們通過使用網絡探針來大規模檢測Penquin_x64的感染主機，從而跟蹤這項最新研究，最終發現當前位於歐洲和美國的數十個網際網路託管伺服器仍然受到威脅。我們認為，在公開披露Turla的GNU/Linux工具之後，Turla的威脅參與者可能會改進Penquin，以規避目前研究人員所掌握的威脅情報。

在6月，我們發現了兩個不同的域名，分別是「emro-who[.]in」和「emro-who[.]org」，仿冒了世界衛生組織（WHO）東地中海區域辦事處（EMRO）的域名。這些域名在6月21日通過Njalla.no域名服務商註冊，似乎被用作魚叉式網絡釣魚活動的發件人域名。這種類型的拼寫錯誤形式讓我們聯想到Sofacy惡意活動針對其他國際組織的惡意活動。此外，我們已經看到有攻擊者使用Njalla.no註冊SPLM和XTUNNEL C2伺服器，此前Sofacy曾將這種自治系統用於SPLM C2。

Hades是一個難以捉摸、經常變化的威脅參與者，通常開展定製化黑客攻擊和特殊訪問操作活動，例如他們此前曾參與OlympicDestroyer、ExPetr（又稱為NotPetya）和Badrabbit攻擊活動。5月28日，美國國家安全局（NSA）發布了一條警報，詳細說明了Hades利用Exim漏洞（CVE-2019-10149）開展的潛在大規模黑客攻擊活動。

四、使用中文的惡意活動

在2019年末以及今年3月，我們描述了一個以前未知的威脅參與者正在進行的惡意活動，我們將其命名為Holy Water。Holy Water特別利用了Go語言和Google Drive命令驅動的植入程序，我們將其稱為Godlike12。在我們發布這份報告並通知相關應急響應單位之後，發現新的Holy Water樣本已經提交給VirusTotal。新發現的樣本可以使用Telegram進行控制，其中包含開源的Python植入程序，它們可以在成功入侵後部署在受害者的網絡上。

3月，我們根據先前針對ShadowPad攻擊進行研究的過程中獲得的YARA規則檢測到了近期編譯的可執行文件，該文件已經被上傳至VirusTotal。後續，我們在自行遙測過程中發現了一些其他的樣本。ShadowPad是一個模塊化的攻擊平臺，由基礎模塊和負責執行各種功能的插件模塊組成。卡巴斯基於2017年首次發現ShadowPad，在當年的8月，我們在一位客戶的網絡中檢測到可疑活動。經過徹底調查，我們發現了一個合法的軟體模塊，該模塊已經在複雜的軟體供應鏈攻擊中被高級威脅參與者攻陷並插入後門。我們已經通知了軟體廠商，並在技術白皮書中發布了調查結果。自那時開始，ShadowPad惡意軟體陸續被部署在許多大規模網絡攻擊中，並在不同的攻擊案例中使用了不同的插件。其中比較典型的攻擊就是2017年的CCleaner和2018年的ShadowHammer攻擊。

自2019年末以後，在我們分析了ShadowPad惡意軟體的新樣本之後，發現這些樣本已經被編譯並用於攻擊中。我們的調查顯示，這些近期發現的ShadowPad惡意軟體樣本與CactusPete威脅參與者之間存在密切的關聯。CactusPete在2019年初開始通過其HighProof後門將ShadowPad惡意軟體部署給一些受害者。但是，自2019年底以來，ShadowPad已經普遍用於CactusPete攻擊。

本季度，我們描述了另一個從2019年12月開始的攻擊活動，即CactusPete。在該惡意活動個鬧鐘功能，CactusPete威脅參與者使用了一種新的方法，將DoubleT後門的更新版本投放到計算機上。攻擊者很可能是藉助惡意文檔在Microsoft Word啟動目錄下植入了新的Dropper模塊。該惡意投放程序負責投放並執行DoubleT後門的新版本，該後門使用了一種加密C2伺服器地址的新方法。

在分析中亞地區的受感染主機時，我們發現了與最初調查對象無關的其他感染情況，從而發現了名為B&W的未知惡意軟體，該惡意軟體為攻擊者提供了遠程控制受害者主機的功能。我們對樣本、基礎架構和其他工具進行了進一步分析，最終得出可靠結論，新發現的惡意軟體與SixLittleMonkeys APT有關。該惡意組織已經活躍了幾年的時間，主要針對中亞地區的政府實體發動攻擊。

HoneyMyte是我們已經追蹤了幾年之久的APT威脅參與者。2月，Avira的研究人員發布了有關HoneyMyte PlugX變種的信息，近期觀察到這些變種針對香港發動攻擊。在過去的10年之中，PlugX已經被多個APT組織使用，特別是在使用中文的威脅行為者之間共享，並且許多方面都發生了變化。Avira的文章中介紹了PlugX加載器和後門Payload，包括其USB功能。5月，我們發布了有關該威脅的更新，其中提供了一些最新的指標，可以幫助檢測今年1月至5月期間在野外發現的某些PlugX變種的威脅。

5月，我們在一個東南亞地區的政府官方網站上發現了水坑攻擊活動。攻擊者在3月部署的這個水坑攻擊似乎是利用白名單和社會工程學技術來感染其目標。最終的Payload是一個簡單的ZIP壓縮包，其中包含一個自述文件，提示受害者執行CobaltStrike植入工具。用於執行CobaltStrike的機制是「DLL側加載」，它解密並執行CobaltStrike階段Shellcode。通過對代碼、基礎架構和受害者行為進行分析，我們非常有理由將這一水坑攻擊歸因到HoneyMyte APT威脅參與者。

Quarian是一個幾乎鮮為人知的惡意程序，自2012年左右以來，就有使用中文的攻擊者利用了該惡意程序。自此之後，我們沒有發現任何後續活動，直至我們觀察到Icefog惡意組織在2019年發起的攻擊活動，該惡意程序死灰復燃。同時，我們注意到一個新的變種，該變種在2020年對中東和非洲政府的幾次攻擊中被使用。在其中的一個案例中，我們可以看到，該變種是利用政府網絡中存在的CVE-2020-0688漏洞部署的。該漏洞在2020年2月公開披露，它允許經過身份驗證的用戶在Microsoft Exchange伺服器上以SYSTEM身份運行命令。在案例中，伺服器遭到了入侵，並託管了ChinaChopper Webshell，該Webshell用於獲取Quarian和PlugX後門，並在後續啟動。通過我們的分析，我們有一定把握推斷這些攻擊背後的惡意組織是CloudComputating。根據先前的分析，該惡意組織是使用中文的惡意組織，針對中東地區備受矚目的外交目標發動攻擊。

今年3月，Check Point Research的研究人員發表了一份報告，描述了針對蒙古公共部門的APT惡意活動，在惡意活動中利用以冠狀病毒為主題的誘餌來進行最開始的入侵。我們還發現了其他針對相同目標的樣本，以及另一個以COVID為主題的文檔，同時還發現了他們針對俄羅斯的一些其他目標也發動了攻擊。我們將該惡意活動歸因於IronHusky惡意組織。

五、中東地區的惡意活動

MuddyWater APT在2017年被發現，此後一直活躍於中東地區。在2019年，我們報告了針對伊拉克和伊朗的電信運營商以及黎巴嫩政府機構的惡意活動。最近，我們在新的攻擊活動中發現MuddyWater使用一個新的C++工具鏈，威脅參與者使用了一個稱為「Secure Socket Funneling」的開源實用程序實現橫向移動。

在5月底，我們觀察到Oilrig在其工具集中包含了DNSExfitrator工具，該工具允許威脅參與者使用HTTPS（DoH）協議上的DNS。Oilrig長期使用DNS協議作為惡意軟體通信的技術。基於DNS和基於DoH的請求之間的區別在於，它們將使用443埠傳輸加密數據包，而不再使用53埠的純文本請求。Oilrig在其工具庫中添加了可以公開使用的DNSExfiltrator工具，該工具允許DoH查詢Google和Cloudflare服務。在這次惡意活動中，惡意軟體運營者使用與COVID相關域名的子域名，我們在檢測到的DNSExfitrator樣本中發現了硬編碼的域名。

六、東南亞和朝鮮半島的惡意活動

BlueNoroff是APT組織中主要針對財務方面開展攻擊的組織之一，我們已經發布了針對BlueNoroff惡意活動的幾份報告。最近，我們發現了另一個自2017年以來一直處於活躍狀態的惡意活動。在該惡意活動中，惡意組織發送包含網絡存儲快捷方式文件的魚叉式網絡釣魚電子郵件。攻擊者將文件名偽裝成與安全性或加密貨幣相關的文件，以誘導用戶執行這些文件。在這個快捷方式文件之後的感染鏈，是一個複雜的多階段感染過程。在交付Windows可執行Payload之前，威脅參與者會使用兩個VBS和三個PowerShell腳本來收集系統信息。威脅參與者非常小心地將最終Payload僅交付給其預期的目標。後門Payload還利用了多階段感染程序。攻擊者利用它來控制受感染的主機，並植入其他惡意軟體以進行監視。這些惡意程序負責記錄用戶的按鍵，並保存受感染計算機的屏幕截圖。該惡意活動的主要目標是金融機構，例如加密貨幣企業和金融科技公司。我們確定了來自10個國家的各種受害者，後續根據開源情報發現了更多潛在受害者。

多年以來，Lazarus惡意組織一直都是主要的威脅參與者。除了開展網絡間諜活動和進行破壞之外，該威脅參與者還針對全球的銀行和其他金融攻擊開展攻擊。直到現在，該惡意組織仍然非常活躍。我們最近觀察到，Lazarus惡意組織使用Bookcode，一種我們認為是Manuscrypt變種的惡意軟體，針對韓國的軟體廠商開展攻擊。Manuscrypt是Lazarus惡意組織的一個工具，目前正得到積極地更新和使用。該惡意組織曾經兩次針對同一個目標進行攻擊，在成功攻陷受害者的大約一年前，他們曾經試圖將惡意軟體偽裝成一個知名安全工具來嘗試入侵，但最終失敗。我們可以構建出惡意組織的漏洞利用後活動，發現他們所使用的各種免費軟體和紅隊工具。儘管Lazarus近期傾向於將重點更多地集中在金融行業，但我們認為，在這一惡意活動中，他們正在試圖尋找智慧財產權。我們還觀察到，該惡意組織此前使用與國防部門相關企業的誘餌文件來傳播Bookcode。根據我們的觀察，Bookcode惡意軟體僅被用於網絡間諜活動。

4月，我們發布了有關VHD勒索軟體的警告，該勒索軟體最早在3月下旬發現。之所以關注這一惡意軟體，是由於其使用的自我複製方式非常獨特。勒索軟體針對每個受害者定製憑據，並使用該憑據編譯用於傳播的實用程序，這一特徵非常像APT惡意活動，但當時我們無法將此次攻擊與任何現有APT組織關聯起來。但是，我們能夠識別該事件與法國和亞洲的企業相關，並使用了已知的Lazarus工具部署VHD惡意軟體。這表明，根據目前所發現的證據，Lazarus是VHD勒索軟體活動的幕後黑手。據我們所知，這也是Lazarus首次利用有針對性的勒索軟體攻擊來獲取金錢利益。

去年，我們曾經針對一個名為MATA的惡意軟體框架發布了一份私有報告，我們推測它可能歸因於Lazarus惡意組織。在惡意軟體框架中包含了加載工具、協調工具和插件等組件。最初，該框架僅支持Windows和Linux。但是在4月，我們利用規則檢測到了屬於MATA惡意軟體框架的可疑macOS文件，該文件已經被上傳至VirusTotal。在研究了該惡意軟體之後，我們確認它是MATA惡意軟體的macOS變種。惡意軟體開發人員對一個開源的雙因素身份驗證應用程式進行木馬化，並利用了另一個開源應用程式模板。在調查過程中，為了找到更多可靠的歸因證據，我們發現了一個古老的Manuscrypt惡意軟體系列，它使用了類似的配置結構。我們還發現了可能與該惡意活動相關的C2伺服器集群。

MATA框架並不是Lazarus針對macOS系統發起攻擊的唯一方式。我們還觀察到了與AppleJeus惡意活動相關的一系列活動。另一種方式類似於在TangDaiwbo惡意活動中使用的macOS惡意軟體。這是一個針對多個加密貨幣交易平臺的惡意活動，Lazarus利用嵌入宏的Office文檔，根據受害者的系統類型有針對性地傳播PowerShell或macOS惡意軟體。

今年年初，我們報告了針對加密貨幣業務發動攻擊的Lazarus惡意活動。在這個惡意活動中，Lazarus惡意組織使用了惡意下載工具，該工具可以發送被攻擊主機的信息，並有選擇地獲取下一階段的Payload。最近，我們發現了與之策略類似的Lazarus惡意活動，但針對的目標是學術和汽車領域。Lazarus還採用了新的方法來交付其工具。首先，該惡意組織使用遠程模板注入技術對文檔進行武器化。之前，Lazarus向受害者提供了嵌入宏的文件，但是現在該組織又使用了一個新的階段來阻止被發現。該惡意組織還利用名為Sumatra PDF的開源PDF閱讀器來製作木馬化應用程式。他們創建了一個木馬化的PDF閱讀器，將其與精心製作的PDF文件一起發給受害者。如果受害者打開這個文件，則木馬化的PDF閱讀器會植入惡意文件，並顯示誘餌文檔以欺騙受害者。威脅參與者非常小心地交付最終Payload並在內存中執行。但幸運的是，我們還是成功獲得了最終的Payload，並確認它屬於Manuscrypt惡意軟體的變種。我們還發現，它與美國網絡安全和基礎設施安全局（CISA）最近報告的COPPERHEDGE屬於同一惡意軟體變種。

在我們的報告中，曾描述了東南亞地區長期存在的PhantomLance，在此之後我們發布了一份私有報告，根據其中與OceanLotus APT惡意活動的重疊之處進行了詳細的歸因。特別是，我們發現它與之前的Android惡意活動之間存在多處代碼相似的地方，並且macOS後門、基礎設施與Windows後門之間存在重疊，幾個跨平臺版本存在相似之處。根據我們的研究，我們有信心地認為PhantomLance是OceanLotus在近期發起的Android惡意活動。除了歸因之外，我們還分析了攻擊者如何繞過應用程式市場過濾條件的傳播策略。與此同時，還提供了與以前報告的可疑基礎結構相關的樣本的其他詳細信息，以及2020年發現的使用Firebase解密其Payload的最新樣本。

此外，OceanLotus自2019年下半年以來，一直在使用其多級加載工具的新變種。新變種使用預先獲得的目標主機特定信息（用戶名、主機名等），以確保他們的最終植入工具被部署到正確的受害者主機之中。該惡意組織持續部署其後門植入工具以及Cobalt Strike Beacon，並使用更新的基礎架構對其進行配置。

七、其他值得關注的發現

Deceptikons APT是一個長期從事間諜活動的組織，據說該組織已經在近十年的時間內提供「僱傭軍」服務。該惡意組織的技術水平不高，據我們所知，他們尚未部署0-day漏洞。Deceptikons使用基礎設施和惡意軟體集的過程非常巧妙，在一定程度上彌補了技術不太先進的缺點。他們使用的惡意軟體也是高度持久化的，許多特性都能讓我們聯想到WildNeutron。Deceptikons多次針對商業和非政府組織的目標發動攻擊，這對於APT參與者來說有些不同尋常。在2019年，Deceptikons針對一系列歐洲律師事務所發動釣魚攻擊，部署了PowerShell腳本。與以前的惡意活動一樣，威脅參與者需要誘導用戶進行交互，利用修改後的LNK文件來初步破壞系統，並執行PowerShell後門。該惡意組織的目標很可能是獲取特定的財務信息、談判的細節，甚至有可能是律師事務所客戶的證據。

我們將一個複雜的惡意軟體框架命名為MagicScroll（又稱為AcidBox），其主要目的是在內核模式下解密和加載任意Payload。該框架共包含幾個階段。第一階段是一個Windows安全提供程序，在引導時由系統加載並在用戶模式下運行。第一階段的程序將解密並運行第二個Payload，該Payload實際存儲在註冊表中。儘管在第二階段我們無法找到受害者，但我們能夠找到與第二階段預期格式相匹配的文件。第二階段Payload利用VirtualBox驅動程序中的一個知名漏洞（CVE-2008-3431）來加載第三階段，該階段被設計為以內核模式運行。第三階段將使用從註冊表中檢索到的密鑰，從第二階段的資源中解密內核模式Payload。但遺憾的是，我們沒有找到用於解密第三階段Payload的解密密鑰，因此我們不清楚該惡意軟體框架中最後一部分的細節。儘管代碼非常複雜，但我們沒有發現該框架與其他已知框架存在相似之處。

Aarogya Setu是由印度國家電子信息技術部下屬的國家信息中心開發的COVID-19疫情移動追蹤應用程式，它允許用戶訪問印度的基本衛生服務。網絡犯罪分子和APT參與者利用這一流行的應用程式來分發木馬化的移動應用，我們調查並確定了一些模仿合法Aarogya Setu應用程式外觀和行為的惡意RAT應用程式。我們認為其中之一是RAT的新版本，此前曾經披露過該RAT已經被名為Transparent Tribe的威脅參與者利用。

八、總結

在威脅趨勢中，並非總能包含「突破性」事件。但是，如果我們對APT威脅行為者惡意活動進行回顧，可以發現其中存在值得關注的發展過程。我們每季度發布的報告，就著力於揭露這些關鍵的發展過程。

以下是我們在2020年第二季度發現的主要趨勢。

1、地緣政治仍然是某些APT威脅參與者的重要動機，例如MuddyWater的惡意活動、Middle East Eye網站的攻擊活動以及CloudComputating和HoneyMyte惡意組織的活動。

2、從Lazarus和Bluenoroff的惡意活動中可以明顯看出，經濟收益是某些威脅參與者的另一個驅動因素，這些惡意活動中也包括使用勒索軟體攻擊。

3、儘管東南亞仍然是APT活動的主要活躍區域，但本季度我們還觀察到使用中文的惡意組織呈現活躍狀態，包括ShadowPad、HoneyMyte、CactusPete、CloudComputating和SixLittleMonkeys。

4、APT威脅參與者繼續利用軟體漏洞，包括本季度發現的Hades和MagicScroll。

5、我們此前已經關注到，使用移動端惡意植入工具已經不是一個新鮮的攻擊思路，本季度PhantomLance的惡意活動就很好地證明了這一點。

6、顯然，APT威脅參與者如同機會主義網絡犯罪分子一樣，繼續利用COVID-19大流行來吸引潛在受害者。但是，這並不意味著攻擊者使用的TTP有所變化。

與往常一樣，上述報告是基於我們對可見的威脅態勢的分析。但是，儘管我們持續改進，但仍然可能會有其他複雜的攻擊活動尚未被我們監測到。

參考及來源：https://securelist.com/apt-trends-report-q2-2020/97937/