2024年Q1 APT趋势报告

六年多来,卡巴斯基的全球研究和分析团队(GReAT)一直在发布针对高级持续性威胁(APT)活动的季度摘要。这些总结基于其以往的威胁情报研究撰,旨在突出公众应该了解的重大事件和发现。

重点发现

Gelsemium组织利用服务器端漏洞部署webshell,并使用各种定制和公共工具逃避检测。两个主要的植入程序——SessionManager和OwlProxy于2022年在Exchange服务器的ProxyLogon类型漏洞利用之后首次被发现。卡巴斯基最近的调查是由于2023年11月中旬在位于巴勒斯坦的一台服务器上发现了可疑活动,其有效负载通过压缩和加密的方式以字体文件的形式提供。这一特点使研究人员在塔吉克斯坦和吉尔吉斯斯坦发生了极为相似的事件。

Careto是一个非常复杂的威胁行为者,至少从2007年开始就针对各种知名组织进行攻击。然而,该威胁行为者似乎自2013年便消声觅迹。从那以后,关于Careto活动的任何信息都没有公布。但最近,卡巴斯基威胁搜索结果使我们能够深入了解Careto在2024年、2022年和2019年进行的攻击活动。值得注意的是,Careto参与者使用了自定义技术,例如使用MDaemon电子邮件服务器来维护组织内部的立足点,或者利用HitmanPro Alert驱动程序来实现持久性。总的来说,研究人员已经看到Careto使用三种复杂的植入程序进行恶意活动,他们将其称为「FakeHMP」,「Careto2」和「Goreto」。

中东地区的活动

3月份,一个新的恶意软件活动被发现,目标是中东地区的政府机构。研究人员将其命名为「DroppingElephant」。研究发现了30多个DuneQuixote 滴管样本,这些样本在这次活动中被积极使用。这些滴管表明了一个名为「Total Commander」的合法工具的安装文件被篡改。这些病毒携带恶意代码,用于下载更多的有效载荷,其中至少有一些是被称为「CR4T」的后门样本。虽然研究只发现了2个这样的植入程序,但研究人员强烈怀疑存在其他可能以完全不同的恶意软件形式出现的植入程序。该组织优先考虑防止收集和分析他们的植入程序——DuneQuixote活动便展示了实用和精心设计的逃避方法。

除此之外,卡巴斯基还一直在跟踪Oilrig APT组织的活动,以识别相关的感染尝试。在此过程中,研究人员发现了另一起可能来自同一威胁组织的活动,但这次针对的是中东的一家互联网服务提供商。在这起新的攻击活动中,威胁参与者使用了一个基于.net的植入程序,该植入程序是使用VB和PowerShell进行的,主要用于远程命令执行和信息采集。研究人员将其命名为「SKYCOOK」。攻击者还使用了一个基于AutoHotKey(AHK)的键盘记录程序,与之前的入侵活动中使用的类似。

东南亚和朝鲜半岛地区的活动

在过去几年里,卡巴斯基一直在跟踪DroppingElephant的活动,并在其最近的操作中发现了几个Spyder后门样本以及Remcos RAT,在少数情况下还发现了其他恶意RAT工具。研究人员观察到,该威胁行为组织滥用DISCORD CDN网络,并利用恶意的.doc和.lnk文件向南亚的受害者提供这些远程访问工具。国内安全机构奇安信已经详细介绍了Spyder后门,以及它在南亚针对多个实体的用途。

在2023年底,研究人员发现了一个由Kimsuky组织精心策划且引人注目的恶意软件变体,它利用了韩国独有的合法软件。虽然用于操纵这个合法程序作为初始感染媒介的确切方法尚不清楚,但可以确信该合法软件与攻击者的服务器建立了连接。随后它检索了一个恶意文件,从而启动了恶意软件的第一阶段。

初始阶段的恶意软件充当常规安装程序,旨在引入后续恶意软件并建立持久机制。在执行安装程序时,它会生成一个后续阶段加载程序,并将其添加到Windows服务中以自动执行。这个序列的最终有效载荷是前所未知的基于Golang的恶意软件,称为「Durian」。Durian拥有全面的后门功能,能够执行交付的命令、额外的文件下载和文件泄露等操作。

在Durian的帮助下,操作人员实施了各种初步方法来维持与受害者的联系。首先,他们引入了名为「AppleSeed」的额外恶意软件,这是一种基于HTTP的后门程序,通常被Kimsuky组织所用。此外,他们还结合了合法工具(包括ngrok和Chrome远程桌面)以及自定义代理工具来访问目标机器。最终,攻击者植入恶意软件窃取浏览器存储的数据,包括cookie和登录凭据等。

根据遥测技术,研究人员在韩国加密货币领域确定了两名受害者。其中,第一次入侵发生在2023年8月,第二次入侵发生在2023年11月。值得注意的是,调查并未发现在这些事件中有任何额外的受害者,这表明攻击者采取了高度针对性的攻击方法。

鉴于该攻击者专门使用了一种与Kimsuky组织有关的AppleSeed恶意软件,因此,研究人员高度自信地将这些攻击归因于Kimsuky组织。然而有趣的是,研究人员还注意到了这些活动与Andariel组织的微弱联系。Andariel以采用名为「LazyLoad」的自定义代理工具而闻名,而研究观察到该攻击者同样使用了LazyLoad。这种微妙的联系不免让人怀疑这两个威胁参与者之间的潜在合作或共享策略。

ViolentParody是在韩国一家游戏公司内部发现的后门程序,最近一次部署是在今年1月。威胁行为者通过感染位于内部网络共享上的批处理文件在组织网络中分发此后门程序。执行上述受感染的. bat文件会导致启动MSI安装程序,该安装程序反过来又会在计算机上删除后门,并通过计划任务和COM对象将其持久化。对该后门的分析表明,它可以收集受感染机器上的侦察数据,执行文件系统操作并注入各种有效载荷。此外,研究人员还观察到该后门背后的威胁行为者正在启动渗透测试工具,如ligolo - long、Inveigh和Impacket。研究人员以低置信度将报告中描述的活动归因于winti组织。

最近几个月,威胁行为组织「响尾蛇」(SideWinder)对亚洲和非洲的知名实体发起了数百起攻击活动。其中,大多数攻击都是从一封鱼叉式网络钓鱼邮件开始的,邮件中包含Microsoft Word文档或包含LNK文件的ZIP归档文件。该附件会启动一系列事件,导致使用不同的JavaScript和.net加载器执行多个中间阶段,最后以在.net中开发的恶意植入程序结束,该植入程序仅在内存中运行。

在调查期间,研究人员观察到一个由许多不同的虚拟专用服务器和数十个子域组成的庞大基础设施。许多子域名被认为是为特定的受害者创建的,命名方案表明攻击者试图将恶意通信伪装成与政府实体或物流公司相关的网站的合法流量。

响尾蛇历来以南亚的政府和军事实体为目标,但这次研究观察到其目标范围已经扩大至东南亚和非洲的受害者。此外,研究还发现欧洲、亚洲和非洲的不同外交实体也受到了损害。除了目标地域不断扩大外,目标行业也得到了扩展,物流业(特别是海运物流业)新目标的发现证明了这一点。

拉撒路(Lazarus)组织在其武器库中拥有各种恶意软件集群,并不断更新其功能和技术以逃避检测。然而,有时也可以观察到该行为者使用其旧的恶意软件。研究人员最近发现,该组织正在测试其熟悉的旧工具——ThreatNeedle。该恶意软件开发者利用绑定工具创建初始阶段的恶意软件,以交付和植入最终有效载荷。绑定工具的主要目标是组装恶意软件安装程序,实际有效载荷和配置。

此外,研究人员还从受影响的设备中发现了各种恶意文件,这些文件在发送受害者的配置文件后获取了下一阶段的有效负载。这种下载程序恶意软件是典型的拉撒路的作案手法。然而,该组织此时采用了更复杂的HTTP通信格式以逃避网络层面的检测。通过调查攻击者使用的命令和控制(C2)资源,研究人员发现包含恶意JavaScript代码的NPM包可以在不通知用户的情况下发送恶意软件。它们中的大多数都伪装成与加密货币相关的程序,并能够从威胁行为者控制的服务器下载额外的有效载荷。这种策略与此前观察和报道的方案非常相似。

黑客行动主义

黑客行动主义(Hacktivism)是黑客和激进主义的结合,它通常被排除在公司的威胁概况之外。这种类型的威胁行为者通常活跃于所有类型的危机、冲突、战争和抗议等事件中。其目标是利用数字手段传递政治、社会或意识形态信息。

回顾整个2023年,SiegedSec在全球范围内加强了黑客入侵和活动。这个小团体自2022年以来一直活跃,主要从事黑客和泄密行动。就像过去的黑客组织LulzSec一样,SiegedSec最初的黑客和泄密和破坏性行动“只是为了哗众取宠”,但最终演变成在全球范围内追求与社会正义相关的目标的多重攻击行动。

他们最近的进攻活动取决于当前的社会政治事件。他们「以网络应用程序为中心」的攻击活动主要以公司、工业和政府基础设施为目标并泄露被盗的敏感信息。SiegedSec的社会正义倡议包括要求释放一名被捕的哥伦比亚网站破坏者/黑客,抗议美国州政府参与制定反堕胎法,反对正在进行的以色列-哈马斯冲突以及北约涉嫌侵犯人权等。

在以色列-哈马斯冲突期间,世界各地的黑客活动均有所增加,包括拒绝服务(DoS和DDoS)、网络破坏、doxing以及回收利用旧的泄露数据等。目标和受害者主要是以色列和巴勒斯坦的基础设施。但由于冲突双方都有支持者,黑客主义分子也会攻击支持国的基础设施。

为了减少此类威胁,当发生类似事件时,组织首先要更新威胁/风险配置文件。其次,了解与各自国家或机构相关的技术风险,并通过确保安全访问和更新软件来防止未经授权的访问。第三,DoS/DDoS准备是必不可少的。尽管这些攻击是暂时的,但它们对业务操作具有破坏性影响。因此,必须有必要实施措施来减轻应用程序和容量攻击。最后,如今数据泄露几乎是不可避免的。黑客可能只是从窃取凭据开始,以获得全面的企业访问权限并泄露敏感数据。这些数据可能会在未来的事件中被回收利用,将入侵的热门话题与黑客主义的信息联系起来,从而引起广泛关注。缓解这种情况的最佳方法是首先防止数据泄漏。实现监视网络流的方法有助于识别异常大的出站数据流,从而在早期阶段实现有效遏制。

其他有趣的发现

2020年,卡巴斯基报道了一场从2019年开始的持续攻击活动,该活动利用了当时名为「Spyrtacus」的新型安卓恶意软件来攻击意大利的个人目标。该工具与HelloSpy有相似之处,后者是一款臭名昭著的跟踪软件,用于远程监控受感染的设备。该威胁行为者于2018年首次通过Google Play分发恶意APK,但在2019年转向伪造恶意网页,以模仿与最常见的意大利互联网服务提供商相关的合法资源。

卡巴斯基多年来一直在监控这种威胁,并在最近发现了一种前所未知的针对Windows开发的「Spyrtacus」代理。该植入程序与先前一份报告中已经报道的C2资源进行通信,并且在恶意软件逻辑和通信协议方面与Android对等物具有相似之处。在调查过程中,研究人员还发现了其他子域名,这些子域名表明存在针对iOS和macOS的植入程序,并且可能表明该组织的活动已经扩展至欧洲,非洲和中东的其他国家。

结语

随着时间的推移,虽然一些威胁参与者的TTP仍然保持一致,例如严重依赖社会工程作为在目标组织中获得立足点或破坏个人设备的手段,但其他人已经更新了他们的工具集并扩大了活动范围。以下是卡巴斯基在2024年第一季度APT攻击活动中观察到的主要趋势:

  • 本季度的主要亮点包括Kimsuky在韩国的供应链攻击中使用了基于Golang的后门Durian,以及针对中东的活动,包括像Gelsemium这样的APT组织,以及黑客主义攻击。
  • 针对意大利个人的Spyrtacus恶意软件表明,威胁行为者继续针对多个平台开发其恶意软件。
  • APT活动在地理上仍然非常分散。本季度,我们报告的活动主要集中在欧洲、美洲、中东、亚洲和非洲。
  • 我们已经看到了针对各种部门的攻击,包括政府、外交、游戏、海上物流和ISP。
  • 地缘政治仍是APT发展的关键驱动因素,网络间谍活动仍是APT活动的主要目标。
  • 我们还将继续看到围绕地缘政治因素开展的黑客活动。

最后,卡巴斯基强调称,此次报告只是其对可见性威胁形势的产物。然而,需要记住的是,在我们努力改进的同时,其他复杂的攻击可能正以我们未知的状态「悄然生长」。

https://securelist.com/apt-trends-report-q1-2024/112473/