卡巴斯基实验室：2020Q1 APT攻击趋势报告

　　概述

　　近两年多来，卡巴斯基全球研究与分析团队（GReAT）一直在发布高级持续性威胁（APT）活动的季度报告，这些报告基于我们的威胁情报研究成果，提供了我们在私有APT报告中已经发表和详细讨论的典型内容。在这里，我们着重强调一些人们有必要关注的重大事件和发现。

　　本报告将重点关注我们在2020年第一季度观察到的恶意活动。

　　考虑到目前处于COVID-19的大流行时期，全世界都受到这一病毒的影响，因此我们首先分析APT组织是如何利用这一话题发起不同类型的攻击的。

　　COVID-19相关的APT活动

　　自世界卫生组织（WHO）宣布COVID-19成为大流行病以来，这一话题已经受到不同攻击者越来越多的关注。我们看到有许多网络犯罪分子发起了网络钓鱼诈骗，他们试图利用人们对病毒的恐惧来谋取暴利。但是，在这一系列攻击者之中，还包括APT威胁行为者，例如Kimsuky、APT27、Lazarus或ViciousPanda，根据OSINT的发现，这些恶意APT组织曾使用COVID-19话题为诱饵，针对受害者发动攻击。我们最近发现了一些可疑的基础结构，该基础结构主要针对包括WHO在内的卫生组织和人道主义组织。根据一些私人消息来源，尽管这些基础设施目前无法归因于任何特定的攻击者，并且在2019年6月COVID-19危机之前就已经注册，但它们可能与DarkHotel恶意组织有关。但是，我们目前无法确认该消息。有趣的是，也有一些攻击者组织在当前形势下宣布，他们不会在危机期间针对卫生组织发动攻击，以此试图营造出良好的声誉。

　　目前，已经有不同的研究结果揭露不同的威胁参与者接连使用这类话题诱导用户，但是总体来说，我们并不认为在TTP方面产生了明显的变化，这只是攻击者在尝试使用一个流行的话题来吸引受害者。同时，我们也正在密切监控局势的发展。

　　最显著的发现

　　2020年1月，我们发现一个水坑攻击利用了完整的远程iOS漏洞利用链。根据网页的内容，我们判断该恶意活动主要针对位于香港的用户。尽管其使用的漏洞利用程序是已知的，但攻击者正在积极修改漏洞利用工具包，以针对更多的iOS版本和设备。我们在2月7日发现了最新的修改版本。该项目比我们最初想象的要更为广泛，它支持Android植入，并且可能支持Windows、Linux和macOS的植入。目前，我们将这个APT组织称为TwoSail Junk。我们认为这是一个中国的攻击者组织，他们主要在香港维护基础设施，同时在新加坡和上海部署有一些主机。TwoSail Junk通过在论坛讨论中发布链接，或者是自行发布帖子，试图将访问者引导到其漏洞利用的恶意站点。迄今为止，已经有数十次来自香港的访问记录，也有少数是来自澳门。我们对iOS植入程序（称为LightSpy）的功能和相关基础结构的技术细节进行了分析，最终发现这是一个中低水平的攻击者组织。但是，他们使用的iOS植入程序是一个模块化且功能全面的iOS监控框架。

　　俄语使用者的攻击活动

　　1月，在一家东欧电信公司，发现了几个近期编译的SPLM/XAgent模块。最初的入口点暂时未知，在该组织内的横向移动方式也尚不清楚。与Sofacy此前的恶意活动相比，几乎无法识别SPLM感染，因此我们猜测该网络中的某些主机可能已经感染了一段时间。除了这些SPLM模块之外，Sofacy还部署了.NET XTUNNEL变种及其加载程序。与过去的XTUNNEL样本（大小为1-2MB）相比，这些XTUNNEL样本的大小减少到了20KB。从长期来看，Sofacy的XTunnel代码库正在逐步向C#语言转变，这让我们联想起了Zebrocy重新编码并创新性使用多种语言编写需长期使用的模块的做法。

　　Gamaredon是一个知名的APT组织，至少从2013年开始活跃，通常针对乌克兰的实体发动攻击。近几个月以来，我们观察到了一些与众不同的活动，有许多其他研究人员也纷纷报道了这一活动。攻击者通过远程模板注入的方式发送恶意文档，从而导致了不同级别的感染，最终攻击者成功部署恶意加载程序，该加载程序会定期与远程C2进行通信，并下载其他样本。根据以往研究，我们知道Gamaredon的工具集中包含许多为实现不同目标而开发的不同恶意软件产品，这些目标包括：扫描驱动器中特定系统文件、捕获屏幕快照、执行远程命令、下载其他文件以使用UltraVNC等程序管理远程计算机。在这一场景中，我们观察到了一个值得注意的第二阶段Payload，其中包括传播功能，我们将其称为“Aversome Infector”。该恶意软件似乎是为了在目标网络中保持强大的持久性，并通过感染外部驱动器上的Microsoft Word和Excel文档以实现横向移动而开发的。

　　中文使用者的攻击活动

　　CactusPete是一个使用中文的网络间谍组织，至少从2012年就开始活动，其技术能力在中等水平。从历史上看，该威胁行为者的目标主要是针对韩国、日本、美国和台湾等少数地区的组织。在2019年底，该组织似乎转向更加关注蒙古和俄罗斯的组织。

　　CactusPete对俄罗斯国防工业和蒙古政府的攻击活动似乎主要是针对俄蒙商业和边境关系这两个维度，攻击者使用蒙古语编写了一个诱饵攻击文档，并投递其Flapjack后门（tmplogon.exe，主要针对新的俄罗斯目标）。该恶意组织的技术能力扩展、漏洞利用的新用途、攻击目标的转移都表明，该恶意组织的资源和运营方式似乎发生了变化。

　　自2018年以来，Rancor是一个已经公开报道的组织，与DragonOK有所关联。传统上，该恶意组织专注于东南亚目标，即柬埔寨、越南和新加坡。我们注意到，该恶意组织在过去几个月的恶意活动中有一些创新之处，他们使用了名为ExDudell的Dudell恶意软件新变种、一种绕过UAC（用户帐户控制）的新工具和用于攻击的新基础架构。除此之外，我们还确定了，以前通过邮件发送的初始诱饵文档现在可以在Telegram Desktop目录中发现，这表明该恶意组织可能正在改变其初始传递的方式。

　　在2019年，我们监测到一个不知名恶意组织的活动，当时该恶意组织是在代表藏族利益的网站上部署水坑，欺骗受害者安装在GitHub存储库中托管的虚假Adobe Flash更新。卡巴斯基通过与GitHub合作撤下该存储库的方式来抵制此攻击。在短暂地平静了一段时间之后，我们发现该恶意组织使用新工具集发起了新一轮的水坑攻击，因此我们决定将该恶意组织命名为Holy Water。

　　从该组织建立开始，威胁行为者就持续改进其简单而富有创造力的工具，目前可能仍然在开发中，他们利用了Sojson混淆、NSIS安装程序、Python语言、开源代码、GitHub分发方式、Go语言以及基于Google Drive的C2通道。

　　中东地区的攻击活动

　　我们最近在2020年2月发现了以土耳其受害者为目标的新型数据泄露恶意活动。尽管StrongPity的TTP在目标、基础设施和感染媒介方面没有改变，但我们发现其试图获取的文件类型有所不同。在这一次的恶意活动中，StrongPity更新了最新的签名后门，名为StrongPity2，同时也添加了更多文件以渗入其常见的Office和PDF文档列表，包括使用希伯来语的Dagesh Pro Word处理器文件、用于河水流量和桥梁建模的RiverCAD文件、纯文本文件、压缩包以及GPG加密文件和PGP密钥。

　　3月，我们发现了一系列有针对性的恶意活动，攻击者分发Milum木马，并旨在对目标组织中的设备进行远程控制，其中的一些目标组织属于工业领域。我们将这一系类恶意活动称为WildPressure，最早可以追溯到2019年8月，并且目前该恶意活动仍然持续进行中。到目前为止，我们已经发现的Milum样本与任何已知的APT活动都不具有代码相似性。该恶意软件为攻击者提供了对受感染设备的远程控制权限，允许下载和执行命令、收集和泄露信息以及在恶意软件中安装升级程序。

　　在2019年12月下旬，卡巴斯基威胁归因引擎监测到Zerozeroe Wiper的新变种，该变种可能被用于针对沙特阿拉伯能源部门发动有针对性的攻击。在本季度，我们确定了该Wiper的新变种，称为Dustman。在擦除文件和分发方面，它与Zerocleare相似，但是其使用变量和技术的变化表明，该恶意组织可能已经准备好发起新一轮攻击。基于嵌入在恶意软件中的消息和创建的互斥体，我们判断这次攻击专门针对沙特阿拉伯的能源部门。Dustman Wiper的PDB文件表明，该破坏性代码属于正式版本，可以在目标网络中部署。上述改动恰逢新年假期，在此期间有许多员工请假进行庆祝。在斋月庆典期间，Shamoon的交付时间也与之类似。

　　东南亚和朝鲜半岛的攻击活动

　　意大利安全公司Telsy在2019年11月曾描述过Lazarus的恶意活动，我们据此找到了此次恶意活动与之前针对加密货币业务组织的恶意活动之间的关联性。Telsy博客中分析的恶意软件是第一阶段下载程序，自2018年中期以来一直被观察到。我们发现，第二阶段恶意软件是Manuscrypt的变种，该恶意软件可以直接归因于Lazarus，部署了两种类型的Payload。其中，第一个是可操纵的Ultra VNC程序，第二个是多级后门程序。这种类型的多阶段感染过程是Lazarus组织的恶意软件的典型特征，特别是在使用Manuscrypt变种时。在该恶意活动中，我们遥测发现Lazarus恶意组织针对塞浦路斯、美国、台湾和香港的加密货币业务发动攻击，该恶意活动一直持续到2020年初。

　　自2013年以来，我们持续跟踪名为Kimsuky的恶意组织，我们发现该恶意组织在2019年尤为活跃。12月，微软取缔了该恶意组织使用的50个域名，并在弗吉尼亚州法院对攻击者提起了诉讼。但是，该恶意组织仍然在开展恶意活动，没有发生明显的变化。最近，我们发现了一个新的攻击活动，该攻击者使用了以新年问候为主题的诱导图像，该图像使用旧版本的下载器，提供了一个经过改进的下一阶段Payload，旨在利用新的加密方法来窃取信息。

　　1月底，我们偶然发现了利用Internet Explorer漏洞（CVE-2019-1367）的恶意脚本。在深入分析Payload并调查与先前恶意活动之间的联系之后，我们得出结论，该恶意活动是由DarkHotel在幕后支持的，该活动可能自2018年以来就一直在进行。在恶意活动中，DarkHotel利用自定义的恶意软件，为受害者提供了一个多阶段的二进制感染过程。最初的感染会创建一个下载程序，该下载程序将获取另一个下载程序，以收集系统信息，并针对高价值受害者安装最终的后门程序。DarkHotel在这次恶意活动中使用了一个独特的TTP组合。威胁执行者使用各种基础结构来托管恶意软件并控制受感染的受害者，包括受感染的Web服务器、商业托管服务、免费托管服务和免费源代码跟踪系统。在这一次恶意活动中，我们能确定目标是位于韩国和日本的公司。

　　今年3月，来自Google的研究人员披露一组攻击者在2019年曾使用过五个0-day漏洞针对朝鲜和关注朝鲜的专家发动攻击。该恶意组织利用了Internet Explorer、Chrome和Windows漏洞，在网络钓鱼邮件中包含恶意附件或指向恶意网站的链接，发动水坑攻击。我们可以根据其中的两个IE漏洞和一个Windows漏洞，将这一系列攻击活动与DarkHotel联系起来。

　　FunnyDream的恶意活动始于2018年中期，针对马来西亚、台湾和菲律宾的知名实体组织，同时主要以越南为目标。我们的分析表明，该恶意活动是属于一项更加广泛的恶意活动中的一部分，该恶意活动可以追溯到几年前针对东南亚国家中涉外组织的攻击活动。攻击者使用的后门会从C2下载和上传文件，在受害者主机上执行命令并启动新进程。此外，后门还会收集网络上其他主机的信息，并通过远程执行命令的方式传播到新主机上。攻击者还使用了RTL和Chinoxy后门。自2018年年中以来，其C2设施一直处于活跃状态，并且其域名与FFRAT恶意软件家族重叠。这种种迹象都表明，后门是通过前期的长期攻击而建立的。该恶意活动目前仍在进行中。

　　AppleJeus是Lazarus最为著名的恶意活动之一，也是该攻击者首次针对macOS目标发动攻击。我们在1月之后的研究中发现，该恶意组织的攻击方法发生了重大变化。他们使用了自制的macOS恶意软件和一种身份验证机制，可以在较低风险的情况下交付假一阶段的Payload，并在不接触磁盘的情况下加载下一阶段的Payload。为了攻击Windows受害者，该恶意组织使用了一个多阶段的感染程序，并大幅更改了最终Payload。我们认为，自从AppleJeus恶意活动被披露以来，Lazarus就在攻击过程中变得更加谨慎，并采取了多种方式避免被发现。我们在英国、波兰、俄罗斯和中国都各自发现了一些受害者。此外，我们目前确认一些受害者与加密货币组织有关。

　　Roaming Mantis是一个以经济为目标的攻击者，在2017年首次被发现，当时该组织使用短信将恶意软件分发到韩国的Android设备上。自那时开始，该恶意组织的互动范围不断扩展，目前已经支持27种语言，以iOS和Android为目标，甚至还会进行加密货币挖矿。攻击者还向其武器库中添加了新的恶意软件家族，包括Fakecop和Wroba.j，并且仍然使用短信钓鱼的方式进行Android恶意软件的分发。在最近的一项恶意活动中，该攻击者伪装成知名的快递公司，分发恶意APK，针对日本、台湾、韩国和俄罗斯在内的地区进行了定制化攻击。其他值得关注的发现

　　其他值得关注的发现

　　TransparentTribe从2019年初开始使用名为USBWorm的新模块，并对其名为CrimsonRAT的自定义.NET工具进行了改进。根据我们的遥测，USBWorm被用于感染成千上万的受害者，其中大多数都位于阿富汗和印度，该攻击导致攻击者可以在被感染主机上下载并执行任意文件，同时支持传播到可移动设备，并从受感染的主机窃取特定文件，或者断开与互联网的连接。在之前的报道中也提到过，该恶意组织主要关注军事目标，通常会针对这些目标发送包含恶意VBA、Peppy RAT、CrimsonRAT等开源恶意软件的恶意Office文档。在目前仍在进行中的新一轮攻击中，我们注意到该组织将目标更多地转向了针对印度以外的阿富汗实体。Transparent Tribe还开发了一种新型的植入工具，用于感染Android设备，这是AhMyth Android RAT的修改版，后者是一个GitHub上开源的恶意软件。

　　在2019年的最后几个月中，我们观察到Fishing Elephant正在进行的一项恶意活动。该恶意组织继续使用Heroku和Dropbox来交付其选择的工具AresRAT。我们发现，攻击者在其操作过程中采用了一项新技术，该技术是将可执行文件隐藏在证书文件中，从而可以阻止人工或自动分析。在我们的研究过程中，我们还发现受害者的变化可能反映了威胁行为者的当前利益，该组织的攻击目标是土耳其、巴基斯坦、孟加拉国、乌克兰和中国的政府和外交实体。

　　总结

　　尽管从目前的威胁形势来看，并不都是“突破性”事件，但当我们将目光放到APT威胁参与者的活动上时，会发现有趣的演变过程。因此，我们将在每个季度的报告中，重点关注这些攻击者的演变趋势。

　　下面是到目前为止，我们已经在今年看到的一些主要趋势：

　　1、根据观察包括CactusPete、LightSpy、Rancor、Holy Water、TwoSail Junk在内的各个APT组织的活动，我们可以明显看出，地缘政治仍然是APT活动的重要推动力。英国国家网络安全中心在本季度也强调了这一点，该中心曾要求俄罗斯军事情报部门对针对格鲁吉亚的破坏性攻击负责，曾在美国对两名中国公民提出起诉并指控他们替朝鲜进行1亿美元的加密货币洗钱行为，曾指控哈马斯组织IDF士兵属于Catfishing团伙。

　　2、Lazarus和Roaming Mantis的恶意活动证明，经济利益仍然是某些威胁行为者的主要动机。

　　3、就APT活动而言，东南亚是最为活跃的地区，包括Lazarus、DarkHotel和Kimsuky等知名攻击者组织，以及Cloud Snooper和Fishing Elephant等较新的攻击团伙。

　　4、有一些APT组织和威胁参与者，例如CactusPete、TwoSail Junk、FunnyDream、DarkHotel持续利用软件漏洞。

　　5、一些APT威胁参与者将移动端植入工具纳入其武器库之中。

　　6、包括Kimsuky、Hades和DarkHotel在内的APT组织和机会主义犯罪分子正在借助COVID-19大流行作为话题发起攻击。

　　总体来说，我们观察到了亚洲地区恶意活动的持续增长，并揭秘了一些新恶意组织的发展过程。另一方面，一些较老的高级攻击团伙在操作过程中越来越挑剔，可能这表明了其思路的变化。同时，针对移动平台的感染活动和恶意软件传播活动呈现上升趋势。几乎每个恶意组织都掌握一些针对移动端平台的恶意工具，在一些恶意活动中，甚至将移动端作为了主要的攻击目标。
目前，每个人都在积极应对COVID-19的危机，APT威胁参与者也一直尝试在鱼叉式网络钓鱼活动中利用这一主题。我们认为，这并不能表明其TTP发生了值得注意的变化，攻击者只是将其作为一个具有新闻价值的话题来吸引受害者。但是，我们正在密切关注局势的发展。

　　与往常一样，我们的报告仅涵盖了我们观察到的恶意活动。需要说明的是，尽管我们努力不断改进，但仍然可能会有一些复杂的攻击仍未被我们监测到。

　　参考及来源：https://securelist.com/apt-trends-report-q1-2020/96826/