诺顿杀毒软件全世界研究与剖析精英团队(GReAT)四年来一直都在不断关心并公布有关高級不断攻击(APT)主题活动的季度报告。这种汇报是根据研究工作人员的不断攻击情报搜集,文中会对相应的发觉做更详尽和严谨的研究。
APT的攻击变化趋势
上年12月,知名的IT代管服务提供商SolarWinds遭到了比较复杂的供应链管理攻击。该公司的Orion IT(一种用于监控和管理方法顾客的IT基础架构的解决方法)遭受了攻击。这致使在北美地区、欧洲地区、中东地区和亚洲地区的18000好几个SolarWinds顾客互联网(包含很多大中型企业和政府部门)上被布署了名叫Sunburst的自定后门。在相关Sunburst的原始汇报中,研究工作人员仔细检查了该木马程序用于与其说C2(指令和操纵)网络服务器通讯的办法及其用于更新对受害人以进一步利用的攻击方式。对Sunburst后门的进一步数据调查报告,一些作用与此前明确的后门——Kazuar有重合之处,Kazuar于2017年初次被发觉,有些人觉得与Turla APT机构相关。 Sunburst和Kazuar中间的共享资源作用包含受害人UID转化成优化算法,其算法中的编码同质性及其FNV1ahach普遍用于搞混字符串比较的作用。有几种概率:Sunburst可能是和Kazuar一起由同一机构开发设计的或是Sunburst的开发者很有可能早已采取了Kazuar的一些念头或编码或是2组都从同一由来得到了木马程序或是一些Kazuar开发工作人员已将随身带的工作经验和专业知识迁移到另一个开发设计精英团队了,或是Sunburst的开发人员引进这种连接做为一种虚报标示。下边将做进一步剖析。
3月2日,微软公司汇报了一个名叫HAFNIUM的APT攻击,该攻击利用了Exchange Server中的四个零日漏洞开展了所说的“比较有限和有目的性的攻击”。那时候,微软公司宣称,除开HAFNIUM以外,别的一些攻击机构也已经利用他们进行了攻击。与此同时,Volexity还汇报了2021年初应用同样的Exchange零日漏洞的状况。依据Volexity的跟踪剖析,除微软公司汇报的HAFNIUM以外,还汇报了一些攻击机构中间正共享资源一些已经应用的系统漏洞。诺顿杀毒软件跟踪技术性揭露了在微软公司公布披露并修复此系统漏洞后,对于这种系统漏洞的利用试着猛增。在3月的第一周,研究工作人员明确了大概1400台总体目标网络服务器,在其中运用了一个或好几个系统漏洞来开展原始浏览。在公布这一份汇报以前,研究工作人员于2月28日在不上十二个Exchange系统软件上明确了相应的系统漏洞利用;研究工作人员还看到了超出12个仿冒的Exchange文档,说明该文件早已被攻击机构上传入了好几个扫描仪服务项目中。依据研究工作人员的跟踪,在欧州和英国观查到了大部分利用网络服务器的试着。在其中一些网络服务器多次被不一样的攻击机构(根据指令实行方式)攻击,这说明这种系统漏洞现在可以被好几个机构应用。
自3月中下旬至今,研究工作人员还看到了一项对于俄罗斯联邦政府的主题活动,该活动应用了以上Exchange零日漏洞。该主题活动利用了一个之前不明的木马程序大家族,研究工作人员将其称之为FourteenHi。进一步的数据调查报告了上溯到一年前这类木马程序组合的主题活动印痕,研究工作人员还发觉,在同一时间范畴内,与HAFNIUM开展的这种主题活动集是基础架构和TTP及其ShadowPad木马程序的应用层面具有一些重合。
欧洲地区的APT攻击变化趋势
在对FinFisher特工程序流程专用工具开展基本剖析期内,研究工作人员发觉了近期对于FinFly Web布署的追踪。尤其是,研究工作人员发觉应用FinFly Web转化成的两部含有Web程序的网络服务器。实质上,FinFly Web是完成根据Web的利用网络服务器的一组专用工具和软件包。在Gamma Group遭受网络黑客攻击后,它于2014年初次被公布。在2019年10月至2020年12月中间,在其中一台异常的FinFly Web服务端处在快速增长情况已超出一年。在上年12月研究工作人员发觉后的第二天,该网络服务器已被禁止使用。即便如此,研究工作人员依然可以捕获其登陆页面的团本,主要包括用于应用之前不明的编码来叙述受害人的JavaScript。在第二种状况下,代管FinFly Web的云服务器在发觉之时早已离线,因而研究工作人员应用可以用的历史记录得到了结果。事实上,它在2020年9月前后左右的很短期内本质服务器上处在激活状态,该服务器好像假冒了受欢迎的Mail.ru服务项目。让人诧异的是,该网络服务器于1月12日再度逐渐回复查看。到现在为止,研究工作人员都还没见到这种网页页面删掉一切有关的有效载荷。
德语地域的APT攻击变化趋势
Kazuar是通常与Turla攻击机构(别名Snake和Uroboros)密切相关的.NET后门。近期,Kazuar因为与Sunburst后门的共同之处而再次遭受关心。虽然Kazuar的作用早已被多次公布,可是相关此后门的很多深层次研究实并没有公布。研究工作人员的最新报告重点关注攻击机构对该后门的9月和11月版本号所做的变更。
2月24日,乌克兰国家我国安全防御联合会(NSDC)公布警示说,攻击机构早已利用我国文档散播系统软件(SEI EB)向乌克兰国家公共性政府散播了故意文档。该报警包括一些相应的互联网IoC,并特定特殊文本文档应用了故意宏,便于将嵌入程序流程散播到目的体系上。多亏了共享资源的IoC,研究工作人员才可以十分明确地将此次攻击归功于Gamaredon攻击机构。诺顿杀毒软件从2月逐渐就将NSDC提及的故意网络服务器IP称之为Gamaredon基础架构。
1月27日,法国的我国网络信息安全组织(ANSSI)公布了一份汇报,叙述了对于2017年至2020年中间公布曝露和落伍的Centreon系统软件的攻击主题活动,目地是布署Fobushell(别名 P.A.S.)webshell和Exaramel嵌入程序流程。 ANSSI将主题活动与Sandworm攻击集(研究工作人员称之为Hades)联络在一起。虽然研究工作人员专业找寻了别的受攻击的Centreon系统软件、Exaramel嵌入程序流程样版或有关基础设施建设,但仍没法查找到一切有价值的印痕,因而没法开展全面调查。可是,研究工作人员的确明确了已布署Fobushell Webshell的三台Centreon服务端。在其中一个Fobushell样版与研究工作人员此前在Zebrocy C2网络服务器上确认的另一个样版同样。
华语乐坛地域的APT攻击变化趋势
自2020年6月至今,研究工作人员发觉了一系列故意主题活动,研究工作人员将其取名为EdwardsPheasant,关键对于越南地区的政府机构机构。攻击组织利用了之前不明且比较难懂的后门和载入程序流程。主题活动在2020年11月做到巅峰,但当前仍在进行中。有关的攻击机构再次利用其专用工具和对策来攻击总体目标或维护保养其互联网中的浏览。尽管研究工作人员可以明确与Cycldek(别名Goblin Panda)和Lucky Mouse(又名Emissary Panda)有关的专用工具和战略的同质性,但它们没法将这一主题活动归纳为这两个主题活动中的任意一个。
研究人员调查了一项名叫A41APT的长期性情报活动,该主题活动对于好几个领域,包含日本制造业以及国外产业基地,该主题活动自2019年3月至今一直活跃性。攻击机构利用SSL-VPN商品中的系统漏洞来布署被称作Ecipekac的双层载入程序流程(别名DESLoader、SigLoader和HEAVYHAND)。研究工作人员将此主题活动和APT10联络在一起。该载入程序流程布署的大部分发觉的有效载荷全是无文档的,之前从来没见过。研究工作人员观查到了SodaMaster(别名DelfsCake,dfls和DARKTOWN),P8RAT(又名GreetCake和HEAVYPOT)和FYAnti(别名DILLJUICE Stage 2),他们先后载入了QuasarRAT。 2020年11月和12月,研究工作人员发布了几篇相关该行动的blog。一个月后,研究工作人员观查到了攻击机构的新主题活动,主要包括她们的一些嵌入程序流程的更新版本,这种嵌入程序流程致力于躲避网络安全产品并使研究工作人员更难开展剖析。
中东国家的APT攻击变化趋势
近期,研究工作人员碰到了被觉得是来自于Lyceum / Hexane攻击机构的此前不明的故意工具箱,这说明其后面的攻击机构仍处在激活状态,而且在上年一直在开发设计更新环节。虽然Lyceum依然更喜欢利用DNS隧道施工,但它好像占用新的C 后门和作用同样的PowerShell脚本制作替代了之前纪录的.NET合理內容。研究工作人员的跟踪说明,攻击机构的全新攻击集中化在对哥斯达黎加各方面的攻击中。研究工作人员观查到的受害人全是哥斯达黎加著名的机构,例如电信网或国际航空公司。根据总体目标领域,研究工作人员假定攻击机构很有可能会对攻击这种目标以追踪她们喜欢的自身的行动和沟通交流有兴趣。这也许代表着全新的Lyceum机构将核心放到对于哥斯达黎加的活动上,或是这也是并未察觉的更普遍主题活动的支系。
2020年11月19日,Shadow Chaser Group发过一条文章,內容涉及到异常的MuddyWater APT故意文本文档,该文档很有可能对于阿拉伯联合酋长国的一所高校。依据此后的剖析,研究工作人员猜疑此攻击最少是在2020年10月上中旬逐渐而且在2020年12月中旬才终止的活動的一部分。攻击机构借助根据VBS的木马程序来感柒政府部门、社会组织的结构和教育局。可是,研究工作人员的跟踪说明攻击机构沒有布署别的专用工具,且她们都不觉得发生了数据泄漏。研究工作人员剖析,此攻击现阶段处在行为准备环节,研究工作人员预估攻击的浪潮将在一段时间的未来接踵而来。在研究工作人员的报告书中,她们给予了对该攻击机构应用的故意文本文档的详细分析,并研究了他们与给定的MuddyWater专用工具的同质性,尤其是基础设施建设设定和通讯计划方案也类似之前。 攻击机构正跟踪剖析第一阶段的C2网络服务器,便于从VBS嵌入程序流程回到联接开展原始通讯以前对它进行剖析。研究发觉,攻击机构在开展最开始的侦查后,会将嵌入程序流程的通讯散播给第二阶段C2,以开展别的免费下载。最终,研究工作人员剖析了该专用工具与MuddyWater机构开发设计的已经知道TTP的共同之处。MuddyWater机构被以为是一个来源于沙特的APT机构,从2017年活跃性迄今。其攻击总体目标国家包含伊拉克、摩洛哥、土尔其、多米尼加等中东地区国家,具备较突出的政冶用意。总体目标领域包含政府部门、电信网、电力能源及高技术领域。
Domestic Kitten是一个关键以挪动后门出名的攻击机构,该安排的行为于2018年曝出,这说明它已经对非洲国家的本人开展监控并及时提前准备进行攻击。攻击机构根据向Android客户推送时兴的,著名的应用软件(这种应用软件是后门程序流程并包括恶意程序)来对于Android客户。很多应用软件具备宗教信仰或政冶主题风格,而且是对于波斯语、阿语和库尔德语的客户,者很有可能暗示着了本次攻击的具体总体目标。研究工作人员发觉的新的证明说明,最少从2013年逐渐,Domestic Kitten就一直应用PE可执行程序来应用Windows瞄准受害人,而且有直接证据说明它可以上溯到2011年。据研究工作人员剖析,其Windows版本号迄今并未公布。该新版本中的嵌入程序流程作用和基本构造一直不变,并已用于该机构2022年亲眼看到的活動中。
Domestic Kitten是一个APT机构,自2015年至今一直对于波斯语地域的客户,而且其开发设计机构好像建在沙特。虽然该机构早已活跃性了很长期,但其绝大多数运动都处在监管下,据研究工作人员剖析,安全性研究工作人员并没有对于此事组织开展调研。直到近期,当鱼饵文档被强上传入VirusTotal并被Twitter上的研究人员留意到时,它才造成留意。接着,研究人员对在其中一个植入程序开展了分析。现阶段研究人员早已可以对其拓展功能开展分析了,并给予相关别的组合的分析。在以上文本文档中提及的被移除的故意程序称之为MarkiRAT,用以纪录击键和剪切板內容,给予文件上传和提交功能及其在受害人电子计算机上实行随意指令的功能。研究人员可以将该植入程序上溯到2015年,及其致力于挟持Telegram和Chrome运用程序做为长久进攻。很多年来,植入程序一直采用的是同样的C2域,这在“Domestic Kitten”的活動中获得了证实。Domestic Kitten机构(APT-C-50)最开始被海外安全性生产商公布,自2016年至今一直在开展普遍而有目的性的进攻,攻击总体目标包含中东地区某一个内部结构持差异政见者和反对党能量,及其ISIS的忠诚战士和关键居住在中东地区某一个中西部的库尔德少数名族。特别注意的是,全部进攻总体目标全是中东地区某一个中国公民。伊斯兰教革命卫队(IRGC)、情报部、内务部等中东地区某一个政府部门很有可能为该机构给予适用。
Karkadann是一个进攻机构,最少从2020年10月起就一直对于中东地区的政府机关和主流媒体进行进攻。该攻击机构运用具备开启感柒链的内嵌式宏的量身定做的故意文本文档,在Internet Explorer中开启URL。宏和电脑浏览器标准中具有的最少程度功能说明,进攻机构很有可能已经运用Internet Explorer中的权利更新系统漏洞。虽然在Karkadann案中可用以分析的直接证据非常少,但研究人员仍能找出与Piwiks案的共同之处,这也是研究人员发觉的对于中东地区好几个大型网站的水坑攻击。研究人员还看到了Karkadann近期的进攻主题活动及其该主题活动与Piwiks进攻中间的共同之处。自往年至今,研究人员发觉一些基础架构与未归类的进攻重合,这种进攻很有可能与同一进攻机构联络在一起。
文中翻譯自:https://securelist.com/apt-trends-report-q1-2021/101967/倘若转截,请标明全文详细地址。