卡巴斯基发布2021年三季度高级持续威胁趋势报告

本期关键词 卡巴斯基 APT 趋势报告

近年来，卡巴斯基全球研究与分析团队(GReAT) 一直定期发布高级持续威胁 (APT) 趋势报告。限于篇幅，我们优先编译了2021年第三季度报告的部分重要内容以飨读者。欲了解该报告全文，请按照文末提示方式获取。摘编原文如下：

一、最显著的发现

2020年12月被广为报道的SolarWinds事件之所以备受关注，是因为攻击者极其谨慎，而且受害者的身份引人瞩目。有证据表明，发动攻击的威胁组织DarkHalo（又名 Nobelium）已经在OrionIT的网络中潜伏了6个月时间来完善他们的攻击。今年6月，在DarkHalo停止活动6个多月后，卡巴斯基观察到一个独联体成员国的多个政府区域遭到DNS劫持，这使得攻击者能够将流量从政府邮件服务器重定向到他们控制的计算机---很可能是通过获得受害者登记员控制面板的凭证来实现的。当受害者试图访问他们的公司邮件时，会被重定向到一个伪造的网络界面副本。之后，受害者被诱骗下载了以前未知的恶意软件。这个后门被称为Tomiris，与DarkHalo去年使用的第二阶段恶意软件SunShuft(又名GoldMax)有许多相似之处。不过，Tomiris和Kazuar后门程序之间也存在许多相似之处，这是一个与Turla APT威胁组织相关联的后门。上述这些相似之处并不足以说明Tomiris和Sunshuttle后门程序之间有高度关联性，但是综合来看，这两个后门程序或许有共同的开发者，或者共享开发代码。

二、俄语地区APT攻击趋势分析

本季度，研究人员发现了几个典型的Gamaredon 恶意感染文件、dropper和植入程序，这表明针对乌克兰政府的恶意活动或许正在进行，甚至可能从今年5月份开始恶意活动就很活跃。目前研究人员还无法准确识别相关的感染链，因为他们只能检索到其中的一部分样本，但这并不影响研究人员将其归因于Gamaredon。本文详细介绍了各种dropper以及解码器脚本，以及对DStealer后门和研究人员观察到的与该活动相关的大型基础设施的分析。

ReconHellcat是一个之前鲜为人知的攻击者，于2020年被发现并公布。其活动的第一个帐户可以追溯到去年3月，MalwareHunterTeam发布的一条推文中介绍了包含与COVID相关的诱饵文件名的档案，其中包含一个恶意的可执行文件。这个档案中的恶意植入程序名为BlackWater。BlackWater反过来会释放并打开一个诱饵文件，然后作为C2服务器联系Cloudflare Workers，这是其他攻击者在使用时通常不会使用的方法。自从首次发现这种攻击方式以来，类似的TTP已被用作QuoIntelligence涵盖的其他攻击的一部分，这表明潜在攻击者正在以有针对性的方式运作，同时追踪与政府相关的知名目标。这种活动似乎一直持续到2021年，当时研究人员发现了一系列使用相同技术和恶意软件的攻击，其目的是在位于中亚的外交组织中潜伏下来。在撰写的私人报告中，研究人员介绍了这项活动，重点关注攻击者对感染链中的要素所做的各种变化，这可能是由于之前公开曝光其活动造成的。

从那时起，研究人员发现了由ReconHellcat操作的其他文件。今年8月到9月间出现了一个新的活动，其感染链不断发展。Zscaler的研究人员也在一篇文章中介绍了这项活动。更新后的攻击活动中引入的一些变化包括依赖 Microsoft Word模板(.dotm)来实现持久性，而不是以前使用的Microsoft Word加载项(.wll)。尽管如此，一些TTP保持不变，因为新的感染链仍然提供相同的最终植入程序---Blacksoul恶意软件，并且仍然使用Cloudflare Workers作为C2服务器。ReconHellcat的目标是塔吉克斯坦、吉尔吉斯斯坦、巴基斯坦和土库曼斯坦等中亚国家相关的政府组织和外交实体。此外，卡巴斯基的研究人员还确定了在前一波攻击中没有出现的两个国家：阿富汗和乌兹别克斯坦。因此卡巴斯基判断ReconHellcat可能是是使用俄语的威胁组织。

三、东南亚及朝鲜半岛地区APT攻击趋势分析

今年6月，卡巴斯基观察到Lazarus威胁组织使用MATA恶意软件框架攻击国防工业。过去，Lazarus曾经使用MATA攻击各个行业以实现类似网络犯罪的意图：窃取客户数据库和传播勒索软件。然而，在此次事件中，卡巴斯基发现Lazarus使用MATA进行网络间谍活动。攻击者提供了一个已知被他们选中的受害者使用的应用程序的木马化版本，这代表了Lazarus组织的已知特征。执行此应用程序会启动一个从下载程序开始的多阶段感染链。该下载器从受感染的C2服务器中获取额外的恶意软件。卡巴斯基曾获取了多个MATA组件以及插件。在此活动中发现的MATA恶意软件与以前的版本相比有所进化，并使用合法的被盗证书以签署其某些组件。通过这项研究，卡巴斯基发现了MATA和Lazarus集团之间更紧密的联系。

卡巴斯基还发现了使用更新后的DeathNote集群的Lazarus组织活动。这些活动涉及今年6月份对韩国智库的袭击，以及5月份对IT资产监控解决方案供应商的攻击。卡巴斯基的调查显示，有迹象表明Lazarus正在建立供应链攻击能力。在第一个案例中，卡巴斯基发现感染链源于合法的韩国安全软件执行恶意载荷；在第二个案例中，攻击目标是一家在拉脱维亚开发资产监控解决方案的公司，该公司是Lazarus的非典型受害者。DeathNote恶意软件集群包含一个部分更新的BLINDINGCAN变种，这是美国网络安全和基础设施安全局（CISA）先前报告过的恶意软件。BLINDINGCAN还被用于分发COPPERHEDGE的新变种，这在CISA的一篇文章中也有提及。卡巴斯基之前曾在2020年1月公布了其对COPPERHEDGE的初步发现。作为感染链的一部分，Lazarus使用了一个名为Racket的下载器，并使用窃取来的证书进行签名。由于使用本地CERT接管攻击者的基础设施，卡巴斯基有机会研究与DeathNote集群相关的几个C2脚本。该攻击者破坏了易受攻击的Web服务器并上传了几个脚本，用于过滤和控制被入侵的受害者机器上的恶意植入程序。

Kimsuky集团是目前最活跃的APT组织之一。该威胁组织以专注于网络间谍活动而闻名，但偶尔也会进行网络攻击以获取经济利益。与其他APT组织采取“报团取暖”的方式一样，Kimsuky也包含几个集群：BabyShark、AppleSeed、FlowerPower和GoldDragon。

每个集群采取不同的攻击手法并具有不同的特征：

BabyShark在C2操作中严重依赖脚本化恶意软件和受感染的Web服务器；AppleSeed使用名为AppleSeed的独特后门；FlowerPower使用PowerShell脚本和恶意的Microsoft Office文档；GoldDragon是最古老的集群，最接近原始的Kimsuky恶意软件。

但是，这些集群也显示出一些重叠。特别是GoldDragon和FlowerPower在其C2基础设施中共享紧密的连接。不过，其他集群也与C2基础设施有部分连接。卡巴斯基评估认为BabyShark和AppleSeed的操作策略不同。

早在今年5月，卡巴斯基就发表了一份关于新发现的Andariel活动的报告。在该活动中，位于韩国的众多行业都成为定制勒索软件的目标。卡巴斯基研究发现攻击者使用两个载体来破坏目标。第一个是使用带有恶意宏的武器化Microsoft Office文档。在卡巴斯基最初发布研究报告时，第二个载体仍然未知，但卡巴斯基发现了包含工具ezPDF Reader路径的工件，该工具由一家名为Unidocs的韩国软件公司开发。卡巴斯基缺少明确的证据表明攻击利用了该软件中的漏洞，为了解决这个谜团，卡巴斯基决定审核该应用程序的二进制文件。通过对该软件进行分析，卡巴斯基发现了ezpdfwslauncher.exe中的一个远程代码执行漏洞，该漏洞可以利用ezPDF Reader入侵网络上的计算机，而无需任何用户交互。卡巴斯基非常自信地认为Andariel组织在其攻击中使用了相同的漏洞。在此发现后，卡巴斯基联系了Unidocs的开发人员，并与他们分享了此漏洞的详细信息。该漏洞被编号为CVE-2021-26605。

本季度，卡巴斯基介绍了与Origami Elephant威胁组织（又名DoNot组织，APT-C-35，SECTOR02）相关的活动，这些活动从2020年初一直持续到今年。Origami Elephant继续利用已知的Backconfig（又名Agent K1）和Simple Uploader组件，但卡巴斯基也发现了名为VTYREI（又名 BREEZESUGAR）的鲜为人知的恶意软件用作第一阶段的有效负载。此外，卡巴斯基还发现了一种独特的技术，利用这种技术可以对恶意文档中使用的远程模板进行编码，在此之前卡巴斯基还没有看到其他威胁组织使用过这种技术。该组织的目标与过去一致：继续关注南亚地区，对主要位于巴基斯坦、孟加拉国、尼泊尔和斯里兰卡的政府和军事实体特别感兴趣。

卡巴斯基还跟踪了从2020年底至本报告发布时针对Android手机的Origami Elephan活动。之前卡巴斯基也对该活动进行了报告。卡巴斯基注意到，基础设施仍然处于活动状态，与卡巴斯基之前报告的相同恶意软件进行通信，仅在代码混淆方面有一些变化。攻击目标与去年相同，受害者位于南亚地区，主要是印度、巴基斯坦和斯里兰卡。与去年的攻击活动相比，该攻击者修改了感染链。卡巴斯基发现Android特洛伊木马是直接分发的，而不是通过下载程序stager。这是通过指向恶意登录页面的链接或通过某些即时消息平台（如WhatsApp）直接发送消息来完成的。卡巴斯基分析的样本模拟了各种应用程序，例如私密消息、VPN以及媒体服务。卡巴斯基的报告涵盖了Origami Elephant针对Android设备活动的现状，并提供了与最新和过去的活动相关的额外IoC。利用卡巴斯基之前的研究提供的线索扫描互联网，能够发现新部署的主机，在某些情况下，甚至在它们处于活跃状态之前就能发现。

三、写在文末

虽然一些威胁组织的TTP随着时间的推移仍然保持一致，严重依赖社会工程学作为其在目标组织中潜伏下来或破坏个人设备的一种手段，但也有其他组织更新了他们的工具集并扩展了他们的活动范围。卡巴斯基的定期季度审查旨在突出APT组织的关键性发展变化。

以下是卡巴斯基在2021年第三季度发现的主要趋势：

（一）继续发现供应链攻击，包括SmudgeX、DarkHalo和Lazarus的攻击。

（二）在本季度，卡巴斯基专注于研究和拆除其检测到的恶意活动后的监视框架。其中包括FinSpy和使用商业post-exploitation框架Slingshot暂存的高级且功能强大的有效载荷。这些工具包含强大的隐蔽功能，例如使用Bootkits进行持久化。Bootkits仍然是一些备受瞩目的APT攻击的活跃组件，尽管微软已经添加了各种缓解措施，使它们在Windows操作系统上的部署变得不那么容易。

（三）卡巴斯基观察到，本季度来自使用中文的威胁组织的活动异常激增，尤其是与年初相比。相比之下，卡巴斯基注意到，本季度中东的活动有所减少。

（四）社会工程学仍然是发起攻击的关键方法；但也有漏洞利用（CloudComputating、Origami Elephant、Andariel），包括利用固件漏洞。

（五）各种威胁组织（例如Gamaredon、CloudComputating、ExCone、Origami Elephant、ReconHellcat、SharpPanda）的活动表明，地缘政治继续推动APT的发展。