四年多來，卡巴斯基的全球研究和分析團(tuán)隊（GReAT）一直在發(fā)布高級持續(xù)攻擊（APT）活動的季度摘要，這些摘要基于他們的攻擊情報研究。

　　最值得注意的發(fā)現(xiàn)

　　去年12月報道的SolarWinds事件之所以引人注目，是因為攻擊者極其小心，受害者的身份也備受矚目。有證據(jù)表明，此次攻擊的幕后主使DarkHalo（又名Nobelium） 已經(jīng)在 OrionIT 的網(wǎng)絡(luò)中花費了六個月的時間來完善他們的攻擊。今年 6 月，也就是基于SolarWinds 開發(fā)的 DarkHalo的六個多月后，研究人員觀察到了一個獨聯(lián)體成員國的多個政府區(qū)域的 DNS 劫持事件，這使得攻擊者可以將流量從政府郵件服務(wù)器重定向到他們控制的計算機上，這可能是通過獲取憑據(jù)來實現(xiàn)的受害者登記員的控制面板。當(dāng)受害者試圖訪問他們的公司郵件時，他們被重定向到一個偽造的網(wǎng)絡(luò)頁面。隨后，他們被誘騙下載了以前未知的惡意軟件。這個被稱為 Tomiris 的后門與 DarkHalo 去年使用的第二階段惡意軟件 Sunshuttle（又名 GoldMax）有許多相似之處。然而，Tomiris 和 Kazuar 之間也存在許多重疊，Kazuar 是一個與 Turla APT 攻擊者相關(guān)聯(lián)的后門。沒有任何相似之處足以將 Tomiris 和 Sunshuttle聯(lián)系起來。然而，這表明了它們有共同的開發(fā)者或共享開發(fā)代碼的可能性。

　　俄語地區(qū)的APT活動

　　本季度，研究人員發(fā)現(xiàn)了幾個典型的 Gamaredon 惡意感染文件、 dropper和植入程序；這可能表明針對烏克蘭政府的惡意活動正在進(jìn)行，可能從5月份開始就很活躍。目前研究人員還無法準(zhǔn)確識別相關(guān)的感染鏈，因為他們只能檢索到其中的一部分樣本。但這并不影響研究人員將其歸因于 Gamaredon。本文詳細(xì)介紹了各種 dropper 以及解碼器腳本，以及對 DStealer 后門和研究人員觀察到的與該活動相關(guān)的大型基礎(chǔ)設(shè)施的分析。

　　ReconHellcat 是一個鮮為人知的攻擊者，于 2020 年被公開發(fā)現(xiàn)。其活動的第一個帳戶可以追溯到去年 3 月，其中，MalwareHunterTeam 在推文中描述了一個帶有包含惡意可執(zhí)行文件的 COVID 相關(guān)誘餌文件名的archive, dubbed中的惡意植入程序。

　　BlackWater 反過來會釋放并打開一個誘餌文件，然后作為 C2 服務(wù)器聯(lián)系 Cloudflare Workers，這是其他攻擊者在使用時通常不會使用的方法。自從首次發(fā)現(xiàn)這種攻擊方式以來，類似的 TTP 已被用作 QuoIntelligence 涵蓋的其他攻擊的一部分，這表明潛在攻擊者正在以有針對性的方式運作，同時追蹤與政府相關(guān)的知名目標(biāo)。這種活動似乎一直持續(xù)到 2021 年，當(dāng)時研究人員發(fā)現(xiàn)了一系列最近使用相同技術(shù)和惡意軟件的攻擊，以在位于中亞的外交組織中站穩(wěn)腳跟。在研究人員的私人報告中，研究人員描述了這項活動，著眼于攻擊者對感染鏈中的元素所做的各種變化，這可能是由于之前公開曝光其活動造成的。

　　從那時起，研究人員發(fā)現(xiàn)了由 ReconHellcat 操作的其他文件。8 月到 9 月間出現(xiàn)了一個新的活動，其感染鏈不斷發(fā)展。Zscaler 的研究人員也在一篇文章中介紹了這項活動。更新后的攻擊活動中引入的一些變化包括依賴 Microsoft Word 模板 （。dotm） 來實現(xiàn)持久性，而不是以前使用的 Microsoft Word 加載項 （。wll）。盡管如此，一些 TTP 保持不變，因為新的感染鏈仍然提供相同的最終植入程序—— Blacksoul 惡意軟件，并且仍然使用 Cloudflare Workers 作為 C2 服務(wù)器。ReconHellcat 的目標(biāo)是塔吉克斯坦、吉爾吉斯斯坦、巴基斯坦和土庫曼斯坦等中亞國家相關(guān)的政府組織和外交對象。此外，研究人員還確定了在前一波攻擊中沒有遇到的兩個國家：阿富汗和烏茲別克斯坦。因此研究人員認(rèn)為是ReconHellcat 的。

　　華語地區(qū)的活動

　　一名疑似為 HoneyMyte 的 APT 攻擊者修改了南亞某國傳播服務(wù)器上的指紋掃描儀軟件安裝程序包。APT 修改了一個配置文件，并將一個帶有 .NET 版本的 PlugX 注入器的 DLL 添加到安裝程序包中。在安裝時，即使沒有網(wǎng)絡(luò)連接，。NET 注入器也會解密 PlugX 后門載荷并將其注入新的 svchost 系統(tǒng)進(jìn)程，并嘗試向 C2 發(fā)送信標(biāo)。南亞某個國家的中央政府員工必須使用此生物識別包來支持記錄出勤。研究人員將此供應(yīng)鏈?zhǔn)录痛颂囟?PlugX 變體稱為 SmudgeX，木馬安裝程序似乎已從 3 月就開始了。

　　在 2020 年和 2021 年期間，研究人員檢測到一個名為 ShadowShredder 的新 ShadowPad 加載模塊，該模塊用于攻擊多個國家/地區(qū)的關(guān)鍵基礎(chǔ)設(shè)施，包括但不限于印度、中國、加拿大、阿富汗和烏克蘭。經(jīng)過進(jìn)一步調(diào)查，研究人員還發(fā)現(xiàn)了通過 ShadowPad 和 ShadowShredder 部署的其他植入程序，例如 Quarian 后門、PlugX、Poison Ivy 和其他黑客工具。值得注意的是，Quarian 后門和 Poison Ivy 與之前針對中亞用戶的 IceFog 活動表現(xiàn)出相似之處。ShadowPad 是 APT 組織自 2017 年以來一直使用的高度復(fù)雜的模塊化網(wǎng)絡(luò)攻擊平臺。當(dāng)時研究人員發(fā)表了一篇博客，詳細(xì)介紹了 ShadowPad 的技術(shù)細(xì)節(jié)及其最初發(fā)現(xiàn)后的供應(yīng)鏈攻擊活動，當(dāng)時它被稱為Barium或 APT41 的組織部署。在 2020 年第一季度，研究人員發(fā)布了有關(guān)發(fā)現(xiàn) x64 ShadowPad 滴管樣本的私人報告。加載模塊使用了一種獨特的反分析技巧，該技巧涉及加載模塊在解密嵌入的 shellcode 之前，通過在加載模塊的內(nèi)存空間中查看一些硬編碼字節(jié)來檢查它是否是通過特定的 EXE 文件加載的。研究人員最近發(fā)現(xiàn)的ShadowShredder加載器并沒有使用這種技術(shù)，而是采用了一種新的混淆方法。研究人員的報告討論了與 ShadowShredder 和 ShadowPad 有關(guān)的第二階段有效載荷的 ShadowShredder 和相關(guān)活動的技術(shù)分析。

　　ESET今年6月發(fā)表了一篇博客文章，描述了一場針對非洲和中東外交部長和電信公司的活動，他們稱之為“后門外交”（BackdoorDiplomacy）。研究人員非常自信地將此活動與CloudComputating的攻擊者聯(lián)系起來，該攻擊者以中東知名對象為目標(biāo)。在調(diào)查中，ESET 發(fā)現(xiàn)了一個與 Windows 變體共享 C2 服務(wù)器的 Quarian Linux 變體樣本，據(jù)報道，該變體樣本是通過利用 F5 Networks 的 BIG-IP 流量管理用戶界面或配置實用程序中的已知 RCE 漏洞 （CVE-2020-5902） 部署的。一年前的 2020 年 7 月，SANS ISC 報告中還提到在 F5 BIG-IP 服務(wù)器上部署了相同的 Quarian ELF 二進(jìn)制文件。本文擴展了對 Quarian Linux 變體及其與 Windows 版本的聯(lián)系的分析。

　　去年，研究人員描述了一場歸因于 CloudComputating 的活動，其中 APT 攻擊者利用了一個已知漏洞來破壞公開暴露的 Microsoft Exchange 服務(wù)器，并使用 China Chopper Web shell 感染它們。惡意載荷隨后被用于上傳其他惡意軟件，通常是自 2010 年左右開始被攻擊者使用的 Quarian 后門。該活動影響了埃塞俄比亞、巴勒斯坦和科威特。ESET 的博客文章使研究人員能夠?qū)⑺麄兊幕顒优c研究人員去年 6 月描述的活動聯(lián)系起來，并擴展研究人員之前的調(diào)查以尋找新的未知變體和受害者。本文也會介紹被稱為 Turian 的 ESET 版本、另外兩個以前未知的 Quarian 版本、用于生成惡意 Quarian 庫的構(gòu)建器組件的概述以及 IoC 的擴展列表。

　　ExCone 是 3 月中旬開始針對俄羅斯聯(lián)邦目標(biāo)發(fā)起的一系列攻擊，攻擊者利用 Microsoft Exchange 漏洞部署了一個被稱之為 FourteenHI 的以前未知的木馬。在研究人員之前的分析中，他們發(fā)現(xiàn)基礎(chǔ)設(shè)施和 TTP 與 ShadowPad 惡意軟件和 UNC2643 活動存在多種聯(lián)系。但是，研究人員無法將該攻擊歸因于任何已知的攻擊者。在研究人員的第一份報告之后，他們又發(fā)現(xiàn)了許多其他變體，它們擴展了研究人員對攻擊者和活動本身的了解。研究人員發(fā)現(xiàn)了針對大量目標(biāo)的新惡意軟件樣本，受害者位于歐洲、中亞和東南亞。研究人員還觀察到其他各種供應(yīng)商公開報告的一系列活動，研究人員能夠非常自信地將這些活動與ExCone關(guān)聯(lián)。最后，研究人員發(fā)現(xiàn)了一個新的惡意軟件樣本，它允許研究人員以將 ExCone 與 SixLittleMonkeys APT 組織聯(lián)系起來。具體來說，研究人員發(fā)現(xiàn)了一個被 FourteenHI 和另一個未知后門攻擊的受害者。這個新的“未知后門”與 FourteenHI 和 Microcin 有相似之處，Microcin 是一種專屬于 SixLittleMonkeys 的木馬。

　　本季度，研究人員還對南亞眾所周知的攻擊活動進(jìn)行了調(diào)查。研究人員在 2019 年至 2021 年 6 月底期間發(fā)現(xiàn)了另一組針對印度航空航天和國防研究機構(gòu)的 TTP，其中包含兩個以前未知的后門：LGuarian 和 HTTP_NEWS。前者似乎是 Quarian 后門的新變種，攻擊者也使用了它。通過跟蹤分析，研究人員獲得了有關(guān)攻擊者的后利用過程的大量信息，并能夠提供他們在此階段使用的各種工具的詳細(xì)信息，以及在受害者設(shè)備上執(zhí)行的操作。這使研究人員能夠收集大量惡意軟件樣本，并發(fā)現(xiàn)攻擊者基礎(chǔ)設(shè)施。

　　6 月 3 日，Check Point 發(fā)布了一份關(guān)于針對東南亞政府被監(jiān)控的報告，并將惡意活動歸咎于一個名為 SharpPanda 的攻擊者。

　　4 月，研究人員調(diào)查了許多模仿 Microsoft 更新安裝程序文件的惡意安裝程序文件，這些文件使用從一家名為 QuickTech.com 的公司竊取的數(shù)字證書進(jìn)行簽名。這些虛假安裝程序展示了非常令人信服的視覺效果，這反映了攻擊者為使它們看起來合法而付出了大量努力。其最終的有效載荷是 Cobalt Strike 信標(biāo)模塊，也配置了“microsoft.com”子域 C2 服務(wù)器。C2 域 code.microsoft[.]com 是一個閑置的 DNS 子域，攻擊者在 4 月 15 日左右注冊，偽裝成 Visual Studio Code 官方網(wǎng)站。受害者通過虛假的 Microsoft 更新目錄網(wǎng)頁被誘騙在他們的設(shè)備上下載和執(zhí)行這些安裝程序，該網(wǎng)頁也托管在“microsoft.com”的另一個閑置的子域上。在調(diào)查惡意安裝程序文件時，研究人員遇到了其他惡意二進(jìn)制文件，根據(jù)收集的線索，研究人員假設(shè)它們是由同一攻擊者開發(fā)和使用的，至少從 1 月到 6 月一直活躍。研究人員在本文中對這個攻擊者使用的擴展工具集進(jìn)行了分析，并將其命名為 CraneLand。

　　7 月，研究人員在兩個公開批評中國且看似合法的網(wǎng)站上發(fā)現(xiàn)了可疑的 JavaScript （JS） 內(nèi)容。混淆后的 JS 從遠(yuǎn)程域名加載，該域名冒充 Google 品牌并啟動惡意 JS 載荷鏈。受感染的網(wǎng)站仍然包含 JS，但研究人員無法將任何其他惡意活動或基礎(chǔ)設(shè)施與這種水坑攻擊聯(lián)系起來。惡意 JS 似乎不符合傳統(tǒng)的網(wǎng)絡(luò)犯罪目標(biāo)，與研究人員在其他水坑攻擊中觀察到的活動相比，其活動非常不尋常。研究人員認(rèn)為惡意 JS 載荷旨在分析和針對來自香港、臺灣或中國大陸的個人。應(yīng)仔細(xì)檢查與所述惡意域的任何連接，以查找后續(xù)的惡意活動。