2020年第一季度APT趋势报告 – 作者:Kriston

卡巴斯基全球研究与分析团队(GReAT)两年多来一直在发布APT活动季度趋势报告,以下是在2020年第一季度观察到的活动。

COVID-19 APT活动

自世界卫生组织(WHO)宣布COVID-19为大流行病以来,攻击者越来越关注COVID-19。许多网络钓鱼诈骗试图利用人们对病毒的恐惧来牟取暴利。攻击者中还包括APT组织,例如Kimsuky,APT27,Lazarus或ViciousPanda等。最近还发现了可疑的基础设施,可用于针对包括WHO在内的卫生和人道主义组织。

关键活动发现

2020年1月,发现了一个利用了完整iOS漏洞的水坑,网站内容针对香港的用户。攻击者正在积极改进漏洞利用工具,以针对更多的iOS版本和设备。它支持Android植入,并且可能支持Windows,Linux和MacOS植入。目前将此APT组称为TwoSail Junk,它主要利用香港基础设施,并在新加坡和上海设有主机。 迄今为止,香港有数十次访问记录,其中有两个来自澳门。

俄语区活动

1月,在一家东欧电信公司中发现了几个最近编译的SPLM / XAgent模块。最初攻击切入店还未找到,在该组织内的横向扩展也没有彻底搞清楚,该网络的某些部分可能已经感染了一段时间。除了这些SPLM模块之外,Sofacy还部署了.NET XTUNNEL变体及其加载程序。与过去的XTUNNEL样本(1-2MB)相比,这些20KB的XTUNNEL样本体积大幅减少。

Gamaredon从2013年开始活跃,专注于乌克兰相关目标。近几个月来,攻击者通过远程模板注入发送恶意文档,并利用了多级感染方案部署恶意程序,该加载程序会定期与远程C2联系来下载其他样本。根据过去的研究,Gamaredon工具包包含为不同目标开发的软件产品,包括扫描驱动器中的特定系统文件,捕获屏幕快照,执行远程命令,下载文件以及使用UltraVNC等程序管理远程计算机。此次观察到了一个新的第二阶段有效载荷,称之为“ Aversome”。

中文区活动

CactusPete从2012年开始活跃,其目标是韩国,日本,美国和台湾等国家/地区组织。在2019年底,该组织更加关注蒙古和俄罗斯组织。 CactusPete根据俄蒙商业和边境关系对俄罗斯国防工业和蒙古政府进行攻击。该小组技术变化,目标转移和扩展表明其资源和运营发生了变化。

自2018年以来,Rancor专注于东南亚目标,即柬埔寨,越南和新加坡。该小组在过去几个月中更新了恶意软件,发现了ExDudell的Dudell的新变种,可用于绕过UAC的新工具以及用于攻击的新基础设施。除此之外还确定了初始诱饵文档,表明该小组正在改变其传播方式。

2019年检测到一个未知组织的活动,主要在藏语网站上部署水坑,欺骗受害者安装托管在GitHub上的假Adobe Flash更新。该组织工具集一直在发展,利用了Sojson混淆,NSIS安装程序,Python,开源代码,GitHub,Go语言以及Google Drive C2通道。

中东活动

2020年2月检测到了针对土耳其的新的攻击活动。StrongPity的TTP在目标,基础设施和感染媒介方面没有改变。此活动中,StrongPity更新了后门签名,添加了更多常见的文件目录列表,包括Dagesh Pro处理器文件,RiverCAD文件,纯文本文件,GPG加密文件和PGP密钥。

3月发现了Milum木马,可对目标组织中的设备进行远程控制,将其称为WildPressure。活动可以追溯到2019年8月。到目前为止,Milum与任何已知的APT活动没有任何代码相似性。该恶意软件可对受感染设备远程控制,下载和执行命令,收集信息以及软件升级。

2019年12月下旬检测到Zerozeroe新变体Dustman,该变体针对沙特***能源部门。它与Zerocleare相似,但是变量和技术名称发生变化,表明攻击者已经准备好新一波的攻击。

东南亚和朝鲜半岛

通过Telsy在2019年11月发布的关于Lazarus活动报告发现了加密货币组织活动迹象。 Telsy提到的恶意软件是第一阶段下载程序,近期发现的第二阶段恶意软件是Manuscrypt的变体,它部署了两种类型的有效负载。第一个是可操纵的Ultra VNC程序,第二个是多级后门程序。Lazarus攻击了Cyprus,美国,台湾和香港的加密货币业务,攻击活动一直持续到2020年初。

Kimsuky在2019年尤其活跃。最近发现其使用以新年问候为主题的诱饵图像,该图像可下载下一阶段有效载荷,利用新的加密方法来窃取信息。

1月底发现了利用Internet Explorer漏洞(CVE-2019-1367)的恶意脚本。DarkHotel策划了此活动,该活动自2018年以来一直在进行。DarkHotel利用自制软件对目标进行渗透。最初会创建一个下载程序,下载其他程序并收集系统信息 。此次活动中,其主要目标是韩国和日本。

3月Google研究人员透露,某黑客组织在2019年使用了五个零日漏洞攻击朝鲜目标。该组织在邮件中包含恶意附件或链接,利用了Internet Explorer,Chrome和Windows的漏洞。其中IE中的一个漏洞和Windows中的一个漏洞可与DarkHotel匹配。

FunnyDream于2018年针对马来西亚,台湾和菲律宾进行攻击,其中大多数受害者来自越南。攻击者从C2下载和上传文件,在受害者机器中执行命令并运行新进程,收集其他主机信息,并远程将恶意软件传递给新主机。攻击者还使用了RTL后门和Chinoxy后门。自2018年年中以来,其C2基础设施一直处于活跃状态。

AppleJeus首次针对macOS目标。一月份的研究显示,该组织的攻击方法发生了重大变化:自制macOS恶意软件和身份验证机制,传递下一阶段的有效负载,在不落盘情况下加载下一阶段有效负载。为了攻击Windows,该组织制定了多阶段感染程序并更改了最终有效载荷。在英国,波兰,俄罗斯和中国确定了几名受害者。

Roaming Mantis于2017年首次报道,该小组的活动范围已明显扩展,支持27种语言,以iOS和Android为目标,挖掘加密货币。攻击者向其武器库中添加了新的恶意软件,包括Fakecop和Wroba.j。

其他发现

TransparentTribe于2019年初开始使用USBWorm模块,并对CrimsonRAT工具进行了改进。USBWorm被用来感染成千上万的受害者,大多数位于阿富汗和印度,攻击者能够下载和执行任意文件,从受感染的主机窃取文件。该小组主要关注军事目标,目标通常被恶意VBA、Peppy RAT和CrimsonRAT等开源恶意软件攻击。

在2019年的最后几个月中,发现Fishing Elephant正在进行的攻击活动。该小组使用Heroku和Dropbox来传播AresRAT。该组织的目标是土耳其,巴基斯坦,孟加拉国,乌克兰和中国的政府和外交组织。

总结思考

从APT活动中可以明显看出,CactusPete,LightSpy,Rancor,Holy Water,TwoSail Junk等其他组织,地缘政治是APT活动的重要推动力。Lazarus和Roaming Mantis证明经济利益仍然是某些攻击者的动机。

就APT活动而言,东南亚是最活跃的地区,包括Lazarus,DarkHotel和Kimsuky等,以及Cloud Snooper和Fishing Elephant等新兴组织。CactusPete,TwoSail Junk,FunnyDream和DarkHotel,继续利用软件漏洞。APT组织正在利用COVID-19。

总而言之,亚洲活动的持续增长,传统的APT组织对目标越来越挑剔,传播方式和技术发生变化,使用移动平台传播恶意软件的趋势正在上升。

*参考来源:securelist,由Kriston编译,转载请注明来自FreeBuf.COM

来源:freebuf.com 2020-06-04 13:00:48 by: Kriston

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论