(接好文)
东南亚地区和朝鲜韩国地域的APT攻击变化趋势
研究人员发觉,Kimsuky组织在其全新的对于韩股票买卖交易应用软件的活動中选用了一种新方式来散播其恶意程序。研究人员发觉在这里主题活动中,从2020年12月逐渐,该组织攻击了一个归属于股票买卖交易程序流程经销商的网址,攻击者用一个恶意程序更换了代管安装文件。 Kimsuky还运用包括与COVID-19有关的鱼饵故意韩语(HWP)文本文档探讨了政府部门救助股票基金,进而散播了其恶意程序。这二种感柒媒介最后都是会释放出来Quasar RAT,Quasar是一种公布可以用的开源系统远程连接木马病毒,关键对于Windows电脑操作系统,Quasar根据故意配件在钓鱼攻击电子邮箱中散播。与Kimsuky之前汇报的由各种各样脚本制作构成的感柒链对比,该新计划方案提升了多元性,并加入了十分不火爆的文件属性,涉及到含有内嵌式C#编码的VBS脚本制作,XML和可拓展css样式表语言表达(XSL)文档,以获得并实行暂存器和有效载荷。依据鱼饵文档和受攻击程序安装包的作用,研究人员得出以下结论:,此攻击是源于经济发展动因,正如研究人员此前所报导的那般,这也是Kimsuky的攻击者关键关心的行业。
1月25日,Google攻击剖析组织(TAG)公布,与中国朝鲜有关的攻击组织以安全性研究人员为总体目标进行攻击。依据Google TAG的blog,研究人员剖析该攻击组织应用了相对高度繁杂的社交媒体工程项目方式,根据社交媒体与安全性研究人员联络,并给予了遭受攻击的Visual Studio新项目文档,或将她们诱惑到她们的新浪博客中诱发被害总体目标安裝Chrome漏洞检测程序流程。 3月31日,Google TAG公布了此主题活动的升级,攻击组织又更新了另一波虚报的社交媒体材料,及其攻击组织在3月中下旬创办的企业。研究人员可以确定blog上的好多个基础架构与研究人员此前公布的相关Lazarus组织的ThreatNeedle组织的汇报內容相重合。除此之外,Google提及的恶意程序与ThreatNeedle(研究人员自2018年至今一直在追踪的恶意程序)相符合。在调研有关信息时,一位外界研究员也确定他也遭受了这类攻击的危害,并共享资源信息内容供研究人员调研。从受感柒服务器破译配备数据信息后,研究人员发觉了别的C2服务器。在实地调查中,服务器仍在运用中,而且研究人员可以获得别的数据信息,剖析服务器上具有的系统日志和文档。研究人员发觉,已公布的根本构造不但用以对于安全性研究人员,并且还适用于别的Lazarus攻击。在研究人员开展研究时,她们发觉有大批量的服务器与C2通讯。你能点一下这里阅读文章研究人员的公布汇报。
在研究人员此前应用ThreatNeedle对Lazarus攻击国防科技的攻击开展调研以后,研究人员发觉了另一个名叫CookieTime的恶意程序组织,该组织在一个关键对于国防科技的活動中应用。研究人员检验到2020年9月和11月的主题活动,样版追朔到2020年4月。与Lazarus组织的已经知道恶意程序组织对比,CookieTime表明出了不一样的结构特征和作用。该恶意程序应用HTTP协议书与C2服务器通讯。为了更好地将要求种类散播到C2服务器,它应用编号的cookie值并从C2服务器获得指令文档。 C2通讯运用了隐写技术性,该技术以受传染的手机客户端与C2服务器中间互换的文档方式来进行攻击。装扮成GIF位图文件內容,但包括来源于C2服务器的数据加密指令和命令实行結果。根据与当地CERT密切协作,研究人员可以删掉攻击时采用的基础架构,那样就会有机遇研究指令和操纵脚本制作。恶意程序操纵服务器以多环节方法配备,而且仅将指令文档散播给有攻击总体目标的服务器。
在调研越南政府验证局(VGCA)网址上的供应链管理攻击的设备时,研究人员发觉第一个恶意代码包追朔到2020年6月,它是应用PhantomNet恶意程序布署的软件开展传递的。研究人员对这种软件的分析表明,它与此前剖析的CoughingDown恶意程序类似。研究人员根据剖析攻击中应用的每一个攻击专用工具及其该攻击组织库文件的别的专用工具,早已懂了其攻击基本原理。最终,研究人员还依据最新发现探寻了CoughingDown产生的缘故。
2月10日,DBAPPSecurity公布了她们上年12月发觉的零日攻击的详细资料。除开漏洞检测程序流程自身的攻击关键点外,研究人员还提及BitterAPT在野外应用了该漏洞检测程序流程。虽然在原始汇报中沒有给予一切有关后面信息内容来表述产生的缘故,但研究人员对于此事主题活动的调研确认,该系统漏洞事实上仅由该攻击组织应用。研究人员为运用此系统漏洞的主题活动和别的对于塔吉克斯坦和我国政府和电力公司的专用工具起了一个名字——TurtlePower。研究人员还将此系统漏洞的产生与她们称之为Moses的攻击联络了起來。以往2年中,Moses最少核心研发了五种修补程序流程。到现在为止,研究人员还可以将在其中一些漏洞检测与最少两种不一样的攻击组织(BitterAPT和DarkHotel)联络起來。现阶段,尚不清楚这种攻击组织是怎么根据立即选购或其它第三方服务提供商从Moses获得攻击的。在TurtlePower主题活动中,BitterAPT对被害总体目标应用了各种的专用工具,包含一个名叫ArtraDownloader的第一阶段有效载荷,一个名为Splinter的第二阶段有效载荷,一个名叫SourLogger的键盘记录器程序流程,一个名叫SourFilling的信息内容盗取程序流程及其Mimikatz的组合,那样做的目标是搜集特殊的信息内容、文档并保证其访问限制。此项尤其主题活动好像也只对于塔吉克斯坦和中国境内的总体目标。研究人员可以应用他们自己的统计数据来认证对于塔吉克斯坦地区的特殊攻击,CVE-2021-1732的应用在2020年6月至7月做到巅峰,但主题活动仍在进行中。
在2020年,研究人员观查到与“ Dropping Elephant”(别名Patchwork,Chinastrats)相关的新一波攻击,关键对于中国和塔吉克斯坦的总体目标。研究人员还留意到了该组织的传统式经营范围之外的一些总体目标,即对中东地区及其对北美洲的兴致日益突出。攻击产生在该组织健全的TTP以上,主要包括应用致力于运用微软公司 Office中的远程控制实行编码系统漏洞的故意文本文档及其在中后期感柒环节签字的JakyllHyde(别名 BadNews)木马病毒。 Dropping Elephant为JakyllHyde引进了一种新的载入程序流程,研究人员将其取名为Crypta。该恶意程序包括阻拦检验的体制,而且好像是该APT攻击组织近期的工具箱的关键构成部分。在载入很多后面有效载荷(例如Bozok RAT,Quasar RAT和LokiBot)的情形下,已观查到Crypta以及组合。研究人员研究期内发觉的另一个木马病毒是PubFantacy。据研究人员孰知,对于此事专用工具的研究結果从没被公布过,而且最少从2018年逐渐就已被用以攻击Windows服务器。
研究人员近期看到了SideWinder攻击组织在2018-2019年应用的一个之前不明的Android嵌入程序流程,研究人员将其称之为BroStealer。 BroStealer嵌入程序流程的具体目标是以受害人的设施中搜集比较敏感信息内容,例如相片、SMS信息、通讯记录和来源于各种各样信息散播应用软件的文档。虽然SideWinder应用Windows平台进行了很多对于受害人的主题活动,但近期的结果报告显示,该攻击组织也根据移动应用平台攻击了总体目标。
别的有趣的发现
在2019年2月,好几家网络信息安全企业检测到了一系列恶意程序样版,在其中大部分与各种各样已经知道的APT组织有关。在其中一些样版没法与一切已经知道主题活动密切相关。因为攻击技术性的创新性,在其中一些还造成了研究人员的需注意。虽然研究人员都还没看到与一切别的已经知道恶意程序共享资源编码,但样版的编号方式、款式和工艺却发生了相互之间重合的状况,这在Lambert的每个家中里都能够看见。因而,研究人员将此恶意程序取名为Purple Lambert。 Purple Lambert由好多个控制模块构成,承担监管互联网总体目标。它可以为攻击组织给予相关受感柒系统软件的基本信息,并实行接受到的有效载荷。它的作用使研究人员想到了另一个Gray Lambert。事实上,Gray Lambert在多次攻击里都取代了核心方式的White Lambert嵌入程序流程。除此之外,Purple Lambert表明出的作用类似Grey Lambert和White Lambert,但实质上或是各有不同。
汇总
虽然一些攻击组织的TTP(战略、技术性和全过程)随时间流逝一直在演化,但其攻击的顺利性比较严重取决于社会工程学,伴随着别的攻击组织梯度下降法已经有的工具箱并扩张它们的攻击范畴,相对应的攻击发展趋势也发生了转变。下列是研究人员在2021年第一季度见到的关键发展趋势:
研究人员在该季度发觉的最首要的攻击或许是SolarWinds攻击。 SolarWinds再度向我们展现了供应链管理攻击的繁杂攻击水平,尤其是此次攻击表明出了攻击组织已经投入大量勤奋以开展更快的掩藏并维持持续性攻击。因为在SolarWinds商品中看到了十分多的零日漏洞,因而研究人员仍在调研这类攻击的范畴。
另一个主要的攻击发展趋势是好几个攻击组织正运用微软公司 Exchange的零日漏洞。近期,研究人员发觉了另一个运用这种系统漏洞的攻击。除此之外,Lazarus组织还运用了电脑浏览器中的零日漏洞来攻击其总体目标。
文中翻譯自:https://securelist.com/apt-trends-report-q1-2021/101967/倘若转截,请标明全文详细地址。