四年多來,卡巴斯基的全球研究和分析團隊(GReAT)一直在發布高級持續威脅(APT)活動的季度報告。
最值得注意的發現
在調查最近的Microsoft Exchange漏洞時,研究人員和來自AMR的同事發現一個攻擊者部署了一個之前不為人知的后門“FourteenHi”,研究人員將其命名為ExCone,該活動自3月中旬開始活躍。在調查過程中,研究人員發現了FourteenHi的多種工具和變體,FireEye報告的基礎設施與UNC2643活動集群相關。此外,研究人員發現ShadowPad檢測與FourteenHi變種攻擊相一致,這可能暗示了這兩個惡意程序家族之間的共享操作。
FourteenHi濫用流行的VLC媒體播放器來執行它的加載程序,可以執行基本的后門功能。進一步的調查還揭示了攻擊者在使用后獲得態勢感知的腳本,以及之前使用的基礎設施來操作Cobalt Strike信標。
盡管研究人員不能直接將此行為歸因于任何已知的威脅因素,但研究人員發現了與ShadowPad惡意程序密切相關的較老的、高度相似的64位后門樣本,主要以其涉及供應鏈攻擊的操作為攻擊載體而聞名。值得注意的是,研究人員還發現在 UNC2643 活動集中使用的 64 位樣本中使用了一個 C2 IP,與 HAFNIUM 攻擊者相關,也使用 Cobalt Strike、DLL 側加載和利用相同的 Exchange 漏洞。
俄語地區的 APT活動
5月27日和28日,Volexity和微軟公布了一項針對歐洲和北美外交機構的持續電子郵件行動的細節。這些攻擊分別來自微軟的Nobelium和Volexity的APT29。雖然研究人員確認了惡意程序和可能的攻擊目標,但目前研究人員還無法確定是哪個攻擊者所為,盡管研究人員發現了與Kazuar的聯系。研究人員認為它為新的攻擊者并命名為“HotCousin”,攻擊開始于一個魚叉式釣魚電子郵件,導致ISO文件容器存儲在磁盤上并掛載。這樣,受害者就會看到一個LNK文件,看起來像資源管理器窗口中的一個文件夾。如果受害者雙擊它,LNK 就會執行一個用 .NET 編寫的加載程序,稱為 BoomBox 或 DLL。執行鏈最終以 Cobalt Strike 信標有效載荷加載到內存中結束。根據公開的研究,攻擊目標很普遍,但主要集中在歐洲和北美的外交機構:根據與惡意程序捆綁在一起的誘餌文件的內容,這種評估似乎是準確的。這一家族活動從 1 月就開始了,有選擇性地瞄準目標,行動速度緩慢,然后逐漸增加并在 5 月結束。根據其他帶有類似工具標記的Cobalt Strike有效載荷和加載程序,有跡象表明,這一攻擊者此前的活動至少可以追溯到2020年10月。
華語地區的 APT活動
在調查最近針對 Exchange 服務器的攻擊事件時,研究人員注意到在幾個不同的受攻擊網絡中出現了重復出現的活動集群。這個集群之所以引人注目,是因為它使用了一個以前未知的 Windows 內核模式 rootkit 和一個復雜的多階段惡意程序框架,旨在提供對受攻擊服務器的遠程控制。前者用于向調查人員和安全解決方案隱藏用戶模式惡意程序的人工制品,同時展示了一個有趣的加載方案,該方案涉及名為“Cheat Engine”的開源項目的內核模式組件,以繞過 Windows 驅動程序簽名強制機制。研究人員能夠確定,該工具集早在2020年7月就已經在使用,并且主要針對東南亞目標,包括幾個政府機構和電信公司。由于這是一項長期存在的操作,具有備受矚目的受害者、先進的工具集,另外它與已知的攻擊者沒有關聯,因此研究人員決定將底層集群命名為“GhostEmperor”。
APT31(又名ZIRCONIUM)是一個中文黑客程序。該攻擊者建立了一個 ORB(操作中繼盒)基礎設施,由幾個受攻擊者的 SOHO 路由器組成,以針對位于歐洲(可能還有其他地方)的機構。截至 5 月份發布報告時,研究人員已經看到這些 ORB 用于中繼 Cobalt Strike 通信和匿名代理目的。APT31 很可能將它們用于其他植入和結束,例如,漏洞利用或惡意程序暫存。APT31 部署的大部分基礎設施包括受攻擊者的 Pakedge 路由器(RK1、RE1 和 RE2)。這個鮮為人知的開發者專門從事小型企業路由器和網絡設備。到目前為止,研究人員不知道惡意攻擊程序利用了哪個特定漏洞來破壞路由器。研究人員目前也沒有辦法來進一步了解此活動,當然,他們將繼續跟蹤這些活動。
在研究人員之前關于 EdwardsPhesant 的報告之后,DomainTools 和 BitDefender 發表了關于針對東南亞目標的惡意活動的文章,研究人員相信這些文章是 EdwardsPhesent 活動的一部分,可信度非常高。在跟蹤該攻擊者的活動、分析第三方發現或提供的樣本以及從公共IoC 進行調查的同時,研究人員發現了一個更新的 DropPhone 植入程序、一個由 FoundCore 的 shellcode 加載的附加植入程序、幾個可能的新攻擊文檔和惡意域名,以及其他目標。雖然研究人員不認為研究人員對這組活動有一個完整的了解,但研究人員本季度的報告標志著在了解其范圍方面又邁出了重要的一步。
2 月份,一個帶有中文標識符的 APT 入侵了蒙古的一家證書頒發機構,并用惡意下載程序替換了數字證書管理客戶端軟件。研究人員以 BountyGlad 的身份跟蹤這個組織的活動,相關基礎設施被識別并用于其他多個事件,比如對香港 WebSphere 和 WebLogic 服務的服務器端攻擊;在客戶端,木馬化 Flash Player 安裝程序。通過這次供應鏈攻擊,該組織展示了其復雜的戰略性攻擊特征。雖然在像證書頒發機構這樣的高價值網站上更換合法安裝程序需要中等水平的技能和協調,但其技術復雜程度與 ShadowHammer 不相上下。雖然該組織部署了相當有趣但簡單的隱寫術來掩蓋其 shellcode,但研究人員認為它可能是使用多年來公開可用的代碼生成的。在 2020 年期間,先前與該組織相關的活動也嚴重依賴魚叉式網絡釣魚和 Cobalt Strike。一些活動涉及 PowerShell 命令和加載程序變體,與研究人員最近報告中提供的下載程序不同。除了魚叉式網絡釣魚外,該組織似乎還依靠公開可用的漏洞來滲透未打補丁的目標系統。他們使用植入程序和 C2(命令和控制)代碼,這些代碼是公開可用的和在多個講中文的 APT 之間私下共享的組合。研究人員能夠跨多個事件連接基礎設施。其中一些重點是 2020 年的西方目標。BountyGlad 也使用了 2020 年 5 月發布的 FBI Flash警報中列出的一些基礎設施,這些基礎設施針對的是進行 COVID-19 研究的美國組織。
在調查攻擊了 TPCon 后門的用戶時,研究人員檢測到了加載程序,這是一個新的多插件惡意程序框架的一部分,研究人員命名為“QSC”,它允許攻擊者在內存中加載和運行插件。 基于受害者學和基礎設施與這些群體使用的其他已知工具的一些重疊,研究人員將此框架的幕后研發者歸因到華語地區的一個組織。到目前為止,研究人員已經觀察到惡意程序在內存中加載了命令外殼和文件管理器插件。根據發現的最古老樣本的編譯時間戳,研究人員認為該框架自2020年4月以來已經在野外使用。然而,研究人員的跟蹤表明該框架仍在使用中,研究人員檢測到的最新活動是在今年 3 月。
本月早些時候,Rostelecom Solar 和 NCIRCC 發布了一份聯合公開報告,描述了針對俄羅斯政府機構網絡的一家族攻擊。該報告描述了一個以前未知的攻擊者利用攻擊鏈導致部署兩個植入程序——WebDav-O 和 Mail-O。這些與其他后利用活動相結合,已導致目標組織中的網絡范圍攻擊,從而導致敏感數據被泄露。研究人員能夠在追蹤分析中將 WebDav-O 植入程序的活動追溯到至少 2018 年,這是一次針對白俄羅斯政府的攻擊。根據研究人員的調查,研究人員能夠找到惡意程序的其他變體,并觀察攻擊者在被攻擊的設備上執行的一些命令。
研究人員發現了一家族針對特定區域內的電信運營商的活動,大部分活動發生在 2020 年 5 月至 2020 年 10 月。該活動雖然使用了多個惡意程序家族和工具,但是基礎設施、暫存目錄和國內目標配置文件顯示它們之間還是有聯系的。攻擊者部署了一個以前未知的后門作為主要植入程序,研究人員稱之為“TPCon”。它后來被用于在目標組織內執行偵察和部署主要由公開可用工具組成的后攻擊工具集。研究人員還發現了其他以前未知的活動后門,研究人員稱之為“evsroin”,用作二次植入程序。另一個有趣的發現是一個相關的加載程序(在暫存目錄中找到),它加載了 KABA1 植入變體。KABA1 是一種用于攻擊整個南海目標的植入程序,研究人員將其歸因于 2016 年的 Naikon APT。另一方面,在受影響的主機上,研究人員發現了其他多個由華語地區攻擊者共享的惡意程序家族,例如 ShadowPad 和 Quarian 后門。這些似乎與TPCon/evsroin事件沒有直接聯系,因為支持基礎設施似乎是完全獨立的。其中一個ShadowPad樣本似乎是在2020年被檢測到的,而其他樣本則在2019年被檢測到。除了 Naikon 之外,研究人員還發現與之前報道的 IceFog 和 IamTheKing 活動存在一些重疊。
