在過去的一年中,關於APT活動最有趣的發展是什麼,卡巴斯基可以從中學到什麼呢?
這不是一個簡單的問題。因為研究人員的視野有限,而且完全了解某些攻擊或發動這些攻擊背後的動機是不可能的。但是,卡巴斯基可以嘗試通過事後分析和事前預測來從不同的角度理解這一問題。
供應鏈損害
近年來,針對供應鏈的攻擊已被證明非常成功——一些著名的例子包括ShadowPad,ExPetr和CCleaner的後門程序。在卡巴斯基的《2019年威脅預測》報告中,這些後門程序被標記為可能的持續攻擊途徑。而後的事實證明這一預測是對的。
2019年1月,卡巴斯基發現了一種複雜的供應鏈攻擊,其中涉及一個廣受歡迎的消費類硬體供應商,該攻擊的機制在於用於向供應商的筆記本電腦和臺式機提供BIOS,UEFI和軟體更新。Operation Shadow Hammer行動背後的攻擊者向公共設施網絡(utility)添加了一個後門,從而可以通過官方渠道將傳遞到用戶設備。攻擊的目標是通過用戶的網絡適配器MAC地址從海量的未知用戶信息池中精確地鎖定特定用戶。攻擊者將一個MAC地址清單硬編碼到木馬程序樣本中,以此掩蓋大規模操作的真正目標。儘管有可能存在針對不同MAC地址的其他木馬樣本,但從此攻擊中發現的200多個樣本中卡巴斯基就能夠提取600多個唯一的MAC地址。
虛假信息
第三季度亞太地區APT的發展引人注目。尤其是考慮到在短短幾周內就對所謂伊朗活動發布了多次信息洩漏。更有趣的是,其中一個漏洞可能是在Sofacy/Hades的幫助下進行的虛假宣傳活動的一部分。
2019年3月,有人在 handle Dookhtegan或Lab_dookhtegan使用#apt34標籤開始在Twitter上發布消息。他們通過Telegram共享了幾個屬於OilRig威脅緣起方文件。其中包括幾名所謂的黑客攻擊受害者的登錄名和密碼、工具、可能與不同入侵有關的基礎設施詳細信息,據稱攻擊者的簡歷以及一系列網站後門工具(顯然與2014-18年時期有關)。目標和TTP與OilRig威脅緣起方是一致的,但是無法確認轉儲中包含的工具的來源。如果轉儲中的數據準確,它還將顯示OilRig組的全球影響力,大多數研究人員認為該組主要在中東開展業務。
2019年4月22日,一個別名為Bl4ck_B0X的組織創建了一個名為GreenLeakers的電報頻道。如其創建者所述,該頻道的目的是免費發布有關MuddyWater APT組成員的信息,以及「有關其母親和配偶等的信息」。除了這些免費信息外,Bl4ck_B0X還暗示他們將出售與MuddyWater有關的「高度機密」信息。4月27日,三個屏幕截圖在GreenLeakersTelegram頻道上發布,其中包含來自MuddyWater C2伺服器的所謂屏幕截圖。5月1日,該頻道對公眾關閉,其狀態更改為私人可見。這些發生在Bl4ck_B0X有機會在MuddyWater組上發布承諾的信息之前。該電報頻道關閉的原因尚不清楚。
最後,一個名為Hidden Reality的網站發布了據稱與一個名為伊朗RANA研究所的組織有關的信息洩露。這是兩個月以來的第三次洩漏,洩露了據稱伊朗威脅者和其組織的細節。有趣的是,這種洩漏與其他洩漏的不同之處在於它允許任何人瀏覽洩漏文件的網站。它還依靠Telegram和Twitter上的個人資料,發布與伊朗CNO能力有關的消息。隱藏現實網站包含內部文件、聊天消息和與RANA研究所的CNO(計算機網絡運營)功能有關的其他數據,以及有關受害者的信息。而先前的洩漏更多地集中在工具、原始碼和單個參與者配置文件上。
通過仔細分析信息洩漏者所使用的材料、基礎設施和專用網站,卡巴斯基有理由相信Sofacy/Hades可能與這些洩漏有關。
迷失東京和黑暗宇宙中
著名的Shadow Brokers洩漏(《迷失東京》)中,包含一個有趣的Python腳本sigs.py,其中包含許多功能,可以檢查系統是否已被另一個威脅發起者破壞。每次檢查都實現為在文件在系統中的唯一性,例如具有唯一名稱或註冊表路徑的文件。儘管某些檢查為空,但sigs.py列出了44個條目,其中許多與尚未公開描述的未知APT有關。
在2019年,卡巴斯基確定了sigs.py文件的第27個函數的APT,並將其命名為DarkUniverse。由於唯一的代碼重疊,卡巴斯基認為DarkUniverse與ItaDuke活動集相關聯。
主要組件是一個相當簡單的DLL,僅具有一個導出的功能,該功能實現了持久性、惡意軟體完整性、與C2的通信以及對其他模塊的控制。卡巴斯基在西亞和東北非發現了約20名受害組織,包括醫療機構、原子能機構、軍事組織和電信公司。
行動攻擊
現在,移動植入(Mobile implants)已成為許多APT組工具集的標準組成部分。2019年發生的事件裡已有足夠的證據。
2019年5月,《金融時報》報導說,黑客已利用WhatsApp中的零日漏洞,使他們能夠竊聽用戶,閱讀他們的加密聊天記錄,打開麥克風和攝像頭並安裝間諜軟體,從而可以進行進一步監視。要利用此漏洞,攻擊者僅需要通過WhatsApp給受害者致電。這種特製的調用在WhatsApp中觸發了緩衝區溢出,從而使攻擊者可以控制應用程式並在其中執行任意代碼。黑客顯然不僅利用此功能監聽人們的聊天和電話,還利用了作業系統中以前未知的漏洞,從而允許他們在設備上安裝應用程式。雖然WhatsApp迅速發布了針對該漏洞的補丁,但是該公司於10月提起訴訟,指責總部位於以色列的NSO Group創建了該漏洞利用程序。WhatsApp聲稱,NSO出售的技術被用於瞄準20個不同國家和地區的1400多名客戶的手機,其中包括人權活動家、記者和其他人。但是NSO否認了這些指控。
2019年7月,卡巴斯基發布了一份私人報告,介紹了2018年中期開發的Android和iOS版FinSpy的最新版本。FinSpy的開發人員將該軟體出售給世界各地的政府和執法機構,他們使用該軟體在各種平臺上收集各種私人用戶信息。移動植入程序在iOS和Android上是相似的,它們能夠收集個人信息,例如聯繫人、消息、電子郵件、日曆、GPS位置、照片、內存中的文件、電話錄音以及來自最受歡迎的Messenger的數據。Android植入程序包含通過濫用已知漏洞在未root用戶的設備上獲得root用戶特權的功能。iOS解決方案似乎並未為其客戶提供充足保護,不過已進行了微調,以清除公開的越獄工具的痕跡:這表明在尚未越獄的情況下,必須對受害者設備的物理訪問。最新版本包含卡巴斯基以前未曾觀察到的多個功能。在卡巴斯基最近的研究中,卡巴斯基在近20個國家和地區野外檢測到了這些植入物的最新版本,但客戶群的規模表明受害人的真實數量可能更高。
2019年8月,Google的零項目團隊發布了在五個開發鏈中至少14個提高未知威脅參與者的特權的iOS零日漏洞。根據Google的說法,攻擊者使用了許多「水坑」網站來傳播這些漏洞。儘管博客沒有包含有關受感染網站或它們是否仍處於活動狀態的詳細信息,但Google聲稱這些網站「每周有成千上萬的訪問者」。這表明此次攻擊是沒有針對性的。對水坑站點的訪問者數量以及交付和安裝該惡意軟體以及使漏洞利用鏈保持最新狀態超過兩年所需的功能的估計值不是很高。
2019年9月,零日經紀公司Zerodium表示,Android的零日現在比iOS的價值高,該公司現在願意為持久的零點擊Android零日支付250萬美元。這比該公司以前為遠程iOS越獄所支付的200萬美元的最高費用有了顯著提高。相比之下,Zerodium還減少了針對蘋果一鍵式攻擊的支出。在同一天,有人在v412(Video4Linux)驅動程序(Android媒體驅動程序)中找到了一個嚴重級別的零日漏洞。Google的9月安全更新未包含此漏洞,該漏洞可能導致特權升級。幾天後,發現一個Android漏洞,導致超過十億三星、華為、LG和Sony智慧型手機容易受到攻擊,攻擊者可以使用SMS消息完全訪問受感染設備上的電子郵件。無論Android和iOS漏洞利用的相對價值如何,很明顯,移動漏洞是一種有價值的商品。
既定的威脅參與者繼續改進其工具
在調查中亞的一些惡意活動時,卡巴斯基確定了一個名為Tunnus的新後門,並將其歸因於Turla。這是基於.NET的惡意軟體,能夠在受感染的系統上運行命令或執行文件操作,並將結果發送到C2。到目前為止,威脅參與者已使用易受攻擊的WordPress安裝構建了其C2基礎結構。
2019年,Turla還將其臭名昭著的JavaScript KopiLuwak惡意軟體包裹在一個名為Topinambour的刪除程序中,該文件是一個新的.NET文件,威脅執行者正在使用該文件通過受感染的安裝程序包分發和刪除KopiLuwak,這些安裝程序用於VPN等合法軟體程序。該惡意軟體幾乎完全是「無文件的」:感染的最後階段是一個用於遠程管理的加密木馬,被嵌入到計算機的註冊表中,以便惡意軟體在就緒時可以訪問。該小組使用兩個KopiLuwak類似物——.NET RocketMan木馬和PowerShell MiamiBeach木馬。進行網絡間諜活動。卡巴斯基認為Turla部署了這些版本,這些版本的目標受到能夠檢測KopiLuwak的安全軟體的保護。
卡巴斯基還觀察到一個新的與COMpfun相關的針對性運動使用新的惡意軟體。卡巴斯基威脅歸因引擎在新家族和舊COMpfun之間顯示出強大的代碼相似性。此外,攻擊者使用原始COMpfun作為一種傳播機制中的下載器。卡巴斯基以一些示例中剩餘的a.pdb路徑命名了新標識的模塊Reductor。Reducor的一個顯著方面是,威脅參與者在處理已安裝的數字根證書以及使用與主機相關的唯一標識符標記出站TLS流量方面付出了很多努力。該惡意軟體將嵌入式根證書添加到目標主機,並允許操作員通過命名管道遠程添加其他證書,而這一過程中作者完全不接觸網絡數據包。代替,他們分析Firefox原始碼和Chrome二進位代碼,以在進程的內存中修補相應的系統偽隨機數生成(PRNG)功能。瀏覽器在TLS握手的最開始就使用PRNG生成「隨機客戶端」序列。Reductor將受害者的基於硬體和軟體的唯一加密標識符添加到此「隨機客戶端」欄位。
Zebrocy繼續使用各種程式語言添加新工具。卡巴斯基發現Zebrocy在東南亞外交事務組織中部署了已編譯的Python腳本,稱為PythocyDbg。該模塊主要提供網絡代理和通信調試功能的隱式集合。在2019年初,Zebrocy通過使用Nimrod/Nim轉移了開發工作,Nimrod/Nim是一種程式語言,語法類似於Pascal和Python,可以編譯為JavaScript或C目標。該小組主要用於魚叉式網絡釣魚的Nim下載器以及其他Nim後門代碼,此類代碼目前都由Zebrocy生產,並與更新的已編譯AutoIT腳本、Go和Delphi模塊一起提供。9月,Zebrocy攻擊了整個歐洲的多個北約和聯盟夥伴,試圖獲得電子郵件通訊、憑證和敏感文件的訪問權限。該活動類似於過去的Zebrocy活動,電子郵件中使用了與目標相關的內容、ZIP附件包含無害的文檔以及帶有更改過的圖標和相同文件名的可執行文件。該組還利用遠程Word模板從合法的Dropbox文件共享站點提取內容。在這次戰役中,Zebrocy的Go後門和Nimcy變型瞄準了遍布歐洲和亞洲的國防和外交目標。
2019年6月,卡巴斯基遇到了一組不尋常的樣本——Platinum(技術最先進的APT參與者之一),這些樣本被用來針對南亞和東南亞國家的外交,政府和軍事組織。在這次運動中,攻擊者使用了精心製作的、以前從未見過的隱秘技術來隱藏通信。幾年前,卡巴斯基預測會有越來越多的APT和惡意軟體開發人員使用隱寫術,此活動為此猜測提供了證明。有趣的是,攻擊者決定將所需的實用程序作為一個龐大的組件來實現,這是基於框架的架構的一個例子,該架構正變得越來越流行。在今年晚些時候,卡巴斯基使用新的後門發現了Platinum,卡巴斯基稱其為Titanium。該惡意軟體與一個稱為ProjectC的工具集之間存在某些相似之處。在2016年ProjectC被檢測到用作橫向移動的工具集,卡巴斯基相信,CloudComputating活動集可以歸因於Platinum,而ProjectC是其工具集之一。
卡巴斯基2018年關於AppleJeus行動報告的主要發現之一是Lazarus小組針對Mac OS的能力。今年,卡巴斯基發現了一項有效期至少一年的新的操作,該操作利用PowerShell來控制Windows系統和Mac OS惡意軟體,從而鎖定Apple客戶。Lazarus還針對了韓國一家移動遊戲公司,卡巴斯基認為該公司旨在竊取應用程式原始碼。顯然,Lazarus一直在非常迅速地更新其工具。
在2019年第三季度,卡巴斯基跟蹤了拉撒路(Lazarus)子集團BlueNoroff的新活動。特別是,卡巴斯基在緬甸發現了一家受到威脅者入侵的銀行。卡巴斯基及時聯繫了銀行,以分享卡巴斯基發現的IoC。卡巴斯基獲得了有關攻擊者如何橫向移動以訪問高價值主機的信息,例如由與SWIFT進行交互的銀行系統工程師所擁有的主機。他們使用公共登錄憑據轉儲程序和自製的PowerShell腳本進行橫向移動。BlueNoroff還採用可能會減慢分析速度的結構不常見的新惡意軟體。根據命令行參數的不同,此惡意軟體可以作為被動後門、主動後門或隧道工具運行。卡巴斯基相信小組會根據情況以不同的方式運行此工具。此外,卡巴斯基發現該威脅參與者攻擊土耳其的目標時使用了另一種PowerShell腳本。該PowerShell腳本具有與以前使用的功能相似的功能,但是BlueNoroff不斷對其進行更改以逃避檢測。
拉撒路的另一個子組織Andariel傳統上一直專注於韓國的地緣政治間諜活動和金融情報。卡巴斯基觀察到該參與者在構建針對漏洞Weblogic伺服器的新C2基礎架構方面的新努力,在本例中為利用CVE-2017-10271。成功突破後,攻擊者植入了帶有韓國安全軟體供應商合法籤名的惡意軟體。該惡意軟體是一種稱為ApolloZeus的新型後門,由具有複雜配置數據的Shellcode包裝程序啟動。該後門使用相對較大的shellcode,以使分析變得困難。另外,它可以謹慎地執行最終的有效負載。
2019年10月,卡巴斯基偶然發現了一個樣本,該樣本使用了誘餌文件和包含北朝鮮海外居民聯繫清單的圖像。幾乎所有誘餌都包含有關朝鮮半島的國定假日和朝鮮的國慶日的內容。引誘內容還與外交問題或業務關係有關。除了來自遙測的其他數據外,卡巴斯基相信該活動的目標是與朝鮮有業務往來的目標,例如商人、外交實體和人權組織。該入侵使用了引人注目的魚叉式網絡釣魚和多階段感染,以植入可完全控制受害者的量身定製的Ghost RAT惡意軟體。卡巴斯基認為,這場運動已經進行了三年多了。並且卡巴斯基相信是DarkHotel APT小組為其提供支持。
Lamberts是一個或多個威脅參與者使用的一系列複雜攻擊工具。軍械庫包括網絡驅動的後門、幾代模塊化後門、收割工具和用於進行破壞性攻擊的工具。今年,卡巴斯基為Lamberts調色板添加了幾種新顏色。Gray Lambert的繼任者Silver Lambert是成熟的後門,實現了一些特定的NOBUS和OPSEC概念,例如通過檢查伺服器SSL證書散列來防止C2接收器空洞、為孤立實例自動卸載(例如,在C2不可用的情況下)以及低級文件擦除功能。卡巴斯基觀察到了中國航空業中Silver Lambert的受害者。Violet Lambert是一種模塊化後門,似乎已在2018年開發和部署,旨在在各種Windows版本(包括Windows XP,Vista和更高版本的Windows)上運行。卡巴斯基觀察到了Violet Lambert在中東的受害者。卡巴斯基還在屬於中東關鍵基礎設施受害者的計算機上發現了其他新的Lambert植入物。卡巴斯基將前兩個稱為Cyan Lambert(包括Light和Pro版本)。卡巴斯基將第三個稱為Magenta Lambert,重用較早的Lamberts代碼,並且與Green、Black和White Lamberts具有多個相似之處。該惡意軟體在網絡上偵聽,然後執行非常隱蔽的有效負載,而卡巴斯基一直無法對其進行解密。
早在2019年年初,卡巴斯基就監控了LuckyMouse威脅行動者的活動,該活動至少自2018年4月以來一直針對越南政府和海外外交實體。卡巴斯基認為,由於以下原因,該活動(稱為SpoiledLegacy)是IronTiger活動的後續活動。
它使用的類似工具和技術。SpoiledLegacy運營商使用滲透測試框架,例如Cobalt Strike和Metasploit。儘管卡巴斯基相信他們利用網絡服務漏洞作為其主要的初始感染媒介,但卡巴斯基也觀察到了準備用於包含誘騙文件的魚叉式網絡釣魚郵件的可執行文件,顯示了操作員的靈活性。除了筆測試框架之外,操作員還使用NetBot下載器和EarthSOCKS隧道器。攻擊者還將HTran TCP代理原始碼包含到惡意軟體中,重定向流量。一些NetBot配置數據包含LAN IP,表明它從本地網絡中另一臺受感染的主機下載下一階段。根據遙測,卡巴斯基相信內部資料庫伺服器就是目標,就像之前的LuckyMouse Mongolian運動一樣。作為最後一個階段,攻擊者使用注入到系統進程內存中的不同內存中的32位和64位木馬。有趣的是,感染鏈中的所有工具都使用洩漏的HackingTeam代碼動態地模糊了Win32 API調用。從2019年初開始,卡巴斯基在中亞和中東觀察到LuckyMouse活動的激增。對於這些新的活動,攻擊者似乎將重點放在電信運營商、大學和政府上。LuckyMouse並沒有對其進行任何更改,威脅參與者仍然依靠自己的工具在受害者的網絡中站穩腳跟,它包括使用HTTPBrowser作為第一階段程序,然後使用Soldier Trojan作為第二階段植入程序。該小組對其基礎架構進行了更改,因為它似乎唯一依賴於IPv4地址而不是其C2的域名,卡巴斯基認為這是嘗試限制關聯。其次是士兵木馬作為第二階段植入程序。該小組對其基礎架構進行了更改,因為它似乎唯一依賴於IPv4地址而不是其C2的域名,卡巴斯基認為這是嘗試限制關聯。
HoneyMyte APT已經活躍了幾年。該小組在過去的幾年中採用了不同的技術來發動攻擊,並將目標對準緬甸、蒙古、衣索比亞、越南和孟加拉國的政府,以及遠一點的巴基斯坦、韓國、美國、英國、比利時、尼泊爾、澳大利亞和新加坡。今年,該組織針對緬甸與自然資源管理相關的政府組織和非洲大陸的主要組織,表明HoneyMyte的主要動機之一是收集地緣政治和經濟情報。儘管該組織的目標是孟加拉國的一個軍事組織,但個別目標可能與該地區的地緣政治活動有關。
自2011年以來,卡巴斯基一直在追蹤Icefog,該襲擊者一直瞄準主要位於韓國、日本和中部的政府機構、軍事承包商、海事和造船組織、電信運營商、衛星運營商、工業和高科技公司以及大眾媒體亞洲。遵循卡巴斯基2013年關於Icefog的原始報告,該小組的操作速度放慢了,卡巴斯基發現活動感染的數量很少。卡巴斯基觀察到2016年略有增長;然後,從2018年開始,Icefog開始對中亞的政府機構和軍事承包商發起大規模攻擊,這對中國的「一帶一路」倡議具有戰略意義。在最新一波攻擊中,感染始於魚叉式網絡釣魚電子郵件,其中包含惡意文件,該文件利用已知漏洞並最終部署了有效負載。從2018年到2019年初,最終的有效載荷是典型的Icefog後門。自2019年5月以來,攻擊似乎已經改變了立場,現在正在使用Poison Ivy作為主要後門。Poison Ivy有效負載會作為惡意DLL刪除,並使用合法程序進行加載,使用一種稱為加載順序劫持的技術,該技術以前的Icefog活動中也使用過。卡巴斯基觀察到使用從GitHub下載的公共TCP掃描程序、使用Mimikatz變體從系統內存中轉儲憑據、使用定製的鍵盤記錄程序來竊取敏感信息以及使用名為Quarian的另一個後門程序的較新版本的情況。Quarian後門用於在受害基礎結構內部創建隧道,以試圖避免網絡檢測。Quarian的功能包括以下功能:操縱遠程文件系統、獲取有關受害者的信息、竊取保存的密碼、下載或上傳任意文件、使用埠轉發創建隧道、執行任意命令。
「新來者」的演變
卡巴斯基首先在2018年1月的一份私人報告中討論了針對臺灣和馬來西亞的新型惡意軟體和入侵集ShaggyPanther。相關活動可以追溯到2004年。此後,ShaggyPanther活動在另外幾個地方也發現了這種病毒:最近一次是在七月在印度尼西亞,三月份是在敘利亞。較新的2018年和2019年後門代碼維護了新的混淆層,並且不再維護明文C2字符串。自從原始發行版以來,卡巴斯基已經使用SinoChopper / ChinaChopper確定了伺服器的初始感染媒介。SinoChopper不僅執行主機識別和後門交付,還執行電子郵件存檔盜竊和其他活動。儘管並非所有事件都可以追溯到伺服器端利用,但卡巴斯基確實檢測到了兩種情況並獲得了有關其分階段安裝過程的信息。在2019年,卡巴斯基又觀察到ShaggyPanther的攻擊是針對Windows伺服器的。
2019年4月,卡巴斯基發表了關於印度的報告,一個過去未知的APT框架在過去的五年中一直活躍。這是一個高度複雜的間諜軟體框架,包括後門、裝載程序、編排器、C2通信器、錄音機、鍵盤記錄器、屏幕和網絡攝像頭抓取器、文檔以及密碼學密鑰竊取程序;甚至是它自己的受害者計算機的文件索引器。卡巴斯基在其加密的虛擬文件系統中發現了多達80個惡意模塊,這是APT工具集中有史以來數量最多的插件之一。該惡意軟體具有自己的索引器、緊急C2、能夠在外部驅動器再次變得可用時從外部驅動器中竊取特定文件等功能。卡巴斯基發現的目標計算機都包括兩種軟體包,並命名為Tokyo和Yokohama,卡巴斯基認為攻擊者將Tokyo作為第一階段的感染,將全功能的Yokohama軟體包部署到受害者身上,然後將Tokyo留在原地進行備份。卡巴斯基的遙測發現只有一個受害者,這是一個來自中亞國家的外交機構。這就引出了一個問題,為什麼只給一個受害者帶來所有麻煩?卡巴斯基認為可能還有其他受害者尚未找到。卡巴斯基無法看到惡意軟體如何使用VFS中的一個文件這一事實為這一理論提供了支持。
2019年2月,卡巴斯基的AEP(自動利用漏洞防禦)系統檢測到試圖利用Windows中的漏洞,並通過進一步分析發現了win32k.sys中的零日漏洞。Microsoft於3月12日修補了此漏洞CVE-2019-0797,卡巴斯基認為,包括FruityArmor和SandCat在內的幾個威脅參與者都使用了此漏洞。有趣的是,FrutiyArmor和SandCat似乎遵循並行的道路,它們具有相同的漏洞利用能力。
2019年2月期間,卡巴斯基觀察到了在俄羅斯南部使用名為Cloudmid的以前未知的惡意軟體的高度針對性的攻擊。該間諜程序通過電子郵件傳播,並偽裝成俄羅斯知名安全公司的VPN客戶端,提供保護網絡的解決方案。到目前為止,卡巴斯基還無法將此活動與任何已知攻擊聯繫起來。惡意軟體本身就是一個簡單的文檔竊取者。但是,考慮到它的受害者性和攻擊的針對性,即使卡巴斯基無法將這組活動歸因於任何已知的參與者,卡巴斯基也認為它足夠相關以進行監視。
2019年2月,卡巴斯基確定了一個針對印度軍事組織的運動,卡巴斯基無法將其歸因於任何已知的威脅行動者。攻擊者依靠水坑和魚叉式網絡釣魚感染受害者。具體而言,他們能夠利用該網站託管用於分發Netwire RAT變體的惡意文檔,從而破壞了陸戰研究中心網站。
在2019年第三季度中,卡巴斯基觀察到了一個利用FireEye稱為DADJOKE的惡意軟體的運動。該惡意軟體於2019年1月首次在野外使用,隨後進行了持續開發。自一月份以來,卡巴斯基僅在少數活動中使用過這種惡意軟體,這些惡意軟體均針對東南亞地區的政府、軍事和外交實體。八月份進行的最新活動似乎只針對少數為某軍事組織工作的人。
隱私問題
2019年1月17日,安全研究員Troy Hunt報告洩漏了超過7.73億封電子郵件和2100萬個唯一密碼記錄。最初稱為集合#1的數據是在流行的雲服務MEGA上共享的。集合#1隻是大約1 TB數據更大洩漏的七分之一。完整的軟體包是過去幾年中從不同來源洩漏的憑據的集合,最近一次是從2017年開始的,因此卡巴斯基無法在此「新」洩漏中識別出任何最新數據。位于波茨坦的Hasso Plattner研究所的研究人員發現了新的數據轉儲,稱為集合2-5。
2019年2月,從16家被黑客入侵的公司竊取的6.17億個帳戶的詳細信息在Dream Market上出售,並可通過Tor網絡訪問。被黑客入侵的公司包括Dubsmash、MyFitnessPal、Armor Games和CoffeeMeetsBagel。隨後,來自另外八家被黑客入侵公司的數據被發布到同一市場。然後在3月,早期數據轉儲背後的黑客發布了另外6家公司的盜竊數據。
在電子郵件地址和密碼洩漏的新聞中,卡巴斯基已經習慣了源源不斷的報導。這種「傳統」身份驗證形式的盜竊行為已經很嚴重,但是使用替代身份驗證方法的後果可能會更加嚴重。8月,兩名以色列研究人員從Suprema Biostar 2生物識別訪問控制系統中的一個公開資料庫中發現了指紋、面部識別數據和其他個人信息。生物特徵數據的暴露尤其令人關注。可以更改已洩露的密碼,但是生物特徵是終身的。
此外,智能設備在卡巴斯基生活的新領域中的更廣泛使用為攻擊者提供了更多數據。例如,智能揚聲器在家庭中無人看管的對話中收聽的潛在影響。社交媒體巨頭正坐在一堆越來越多的個人信息上,這些信息對於罪犯和APT威脅行為者都非常有價值。
最後的想法
卡巴斯基將繼續跟蹤可以找到的所有APT活動,並將定期重點介紹更有趣的發現,但是,如果您想了解更多信息,請通過intelreports@kasperksy.com與卡巴斯基聯繫。