一、概述
卡巴斯基全球研究与分析团队(GReAT)三年多以来一直在发布高级持续性威胁(APT)活动的季度报告。这些报告基于我们的威胁情报研究,提供了我们在私有APT报告中已经发布和详细讨论的部分内容摘要,以突出展示我们认为大家应该关注的重大事件和发现。
这是我们系列报告的最新一期,重点关注我们在2020年第二季度期间观察到的活动。
二、显著发现
5月11日,总部位于英国的超级计算中心ARCHER宣布将在调查安全事件期间关闭对互联网的访问。其网站表明,“ARCHER设施是基于提供核心计算资源的Cray XC30超级计算机,共有4920个节点”。与此同时,总部位于德国的bwHPC也宣布发生一起安全事件,并决定限制对其资源的访问。瑞士国家超级计算机中心在参与一项新冠病毒小膜蛋白研究项目的过程中,宣布他们以及其他欧洲高性能计算机设备遭受到攻击,并且已经暂时关闭。根据其报告,EGI计算机安全和应急响应团队(EGI-CSIRT)在5月15日发布了一条警报,该警报涉及两起事件,根据报告,这些事件可能相关,也可能彼此无关。这两起事件都是攻击者利用学术数据中心进行CPU挖矿活动。在警报中,包括大量威胁指标,这些威胁指标可以作为对其他开源情报(OSINT)的补充。尽管我们无法确定ARCHER和EGI-CSIRT所描述的事件是否彼此相关,但我们存在这样的怀疑。一些媒体推测,所有这些攻击活动可能都与在超级计算中心开展的COVID-19研究有关。
值得关注的是,在2020年7月16日,NCSC发布了一份通报,描述了针对COVID-19疫苗研究机构开展的恶意活动。在恶意活动中,攻击者使用的恶意软件属于一个名为WellMess的家族,LAC Co在2018年曾首次对该家族恶意软件进行过分析。直到最近,该恶意软件才被证明与任何APT活动之间都没有关联。令人惊讶地是,NCSC将恶意活动归因于APT-29威胁参与者,但没有提供任何公开的证据。
根据我们的研究,我们可以确认WellMess恶意软件的活动似乎呈现一个周期的趋势,自发现以来,大约每三个月就在恶意活动中使用一次。我们观察到该恶意软件在2019年秋季呈现活动的高峰,随后在2020年2月增加了C2的数量。我们还观察到一些高价值目标,包括中东、北非和欧盟的电信公司、政府和承包商。然而,在我们看来,目前还无法确定有攻击者针对卫生机构的目标发动专门的攻击。
有关WellMess的更多详细信息,大家可以在这里查看GReAT此前的演示:https://youtu.be/xeTYLRCwnFo 。
三、使用俄语的恶意活动
今年5月,Leonardo的研究人员发表了一份有关“Penquin_x64”的报告,Penquin_x64是Turla的Penquin GNU/Linux后门程序的变种,此前没有被发现过。卡巴斯基公开记录了Penquin恶意软件家族,奇热并追溯到其在1990年代在针对Unix的Moonlight Maze恶意活动中使用的历史版本。我们通过使用网络探针来大规模检测Penquin_x64的感染主机,从而跟踪这项最新研究,最终发现当前位于欧洲和美国的数十个互联网托管服务器仍然受到威胁。我们认为,在公开披露Turla的GNU/Linux工具之后,Turla的威胁参与者可能会改进Penquin,以规避目前研究人员所掌握的威胁情报。
在6月,我们发现了两个不同的域名,分别是“emro-who[.]in”和“emro-who[.]org”,仿冒了世界卫生组织(WHO)东地中海区域办事处(EMRO)的域名。这些域名在6月21日通过Njalla.no域名服务商注册,似乎被用作鱼叉式网络钓鱼活动的发件人域名。这种类型的拼写错误形式让我们联想到Sofacy恶意活动针对其他国际组织的恶意活动。此外,我们已经看到有攻击者使用Njalla.no注册SPLM和XTUNNEL C2服务器,此前Sofacy曾将这种自治系统用于SPLM C2。
Hades是一个难以捉摸、经常变化的威胁参与者,通常开展定制化黑客攻击和特殊访问操作活动,例如他们此前曾参与OlympicDestroyer、ExPetr(又称为NotPetya)和Badrabbit攻击活动。5月28日,美国国家安全局(NSA)发布了一条警报,详细说明了Hades利用Exim漏洞(CVE-2019-10149)开展的潜在大规模黑客攻击活动。
四、使用中文的恶意活动
在2019年末以及今年3月,我们描述了一个以前未知的威胁参与者正在进行的恶意活动,我们将其命名为Holy Water。Holy Water特别利用了Go语言和Google Drive命令驱动的植入程序,我们将其称为Godlike12。在我们发布这份报告并通知相关应急响应单位之后,发现新的Holy Water样本已经提交给VirusTotal。新发现的样本可以使用Telegram进行控制,其中包含开源的Python植入程序,它们可以在成功入侵后部署在受害者的网络上。
3月,我们根据先前针对ShadowPad攻击进行研究的过程中获得的YARA规则检测到了近期编译的可执行文件,该文件已经被上传至VirusTotal。后续,我们在自行遥测过程中发现了一些其他的样本。ShadowPad是一个模块化的攻击平台,由基础模块和负责执行各种功能的插件模块组成。卡巴斯基于2017年首次发现ShadowPad,在当年的8月,我们在一位客户的网络中检测到可疑活动。经过彻底调查,我们发现了一个合法的软件模块,该模块已经在复杂的软件供应链攻击中被高级威胁参与者攻陷并插入后门。我们已经通知了软件厂商,并在技术白皮书中发布了调查结果。自那时开始,ShadowPad恶意软件陆续被部署在许多大规模网络攻击中,并在不同的攻击案例中使用了不同的插件。其中比较典型的攻击就是2017年的CCleaner和2018年的ShadowHammer攻击。
自2019年末以后,在我们分析了ShadowPad恶意软件的新样本之后,发现这些样本已经被编译并用于攻击中。我们的调查显示,这些近期发现的ShadowPad恶意软件样本与CactusPete威胁参与者之间存在密切的关联。CactusPete在2019年初开始通过其HighProof后门将ShadowPad恶意软件部署给一些受害者。但是,自2019年底以来,ShadowPad已经普遍用于CactusPete攻击。
本季度,我们描述了另一个从2019年12月开始的攻击活动,即CactusPete。在该恶意活动个闹钟功能,CactusPete威胁参与者使用了一种新的方法,将DoubleT后门的更新版本投放到计算机上。攻击者很可能是借助恶意文档在Microsoft Word启动目录下植入了新的Dropper模块。该恶意投放程序负责投放并执行DoubleT后门的新版本,该后门使用了一种加密C2服务器地址的新方法。
在分析中亚地区的受感染主机时,我们发现了与最初调查对象无关的其他感染情况,从而发现了名为B&W的未知恶意软件,该恶意软件为攻击者提供了远程控制受害者主机的功能。我们对样本、基础架构和其他工具进行了进一步分析,最终得出可靠结论,新发现的恶意软件与SixLittleMonkeys APT有关。该恶意组织已经活跃了几年的时间,主要针对中亚地区的政府实体发动攻击。
HoneyMyte是我们已经追踪了几年之久的APT威胁参与者。2月,Avira的研究人员发布了有关HoneyMyte PlugX变种的信息,近期观察到这些变种针对香港发动攻击。在过去的10年之中,PlugX已经被多个APT组织使用,特别是在使用中文的威胁行为者之间共享,并且许多方面都发生了变化。Avira的文章中介绍了PlugX加载器和后门Payload,包括其USB功能。5月,我们发布了有关该威胁的更新,其中提供了一些最新的指标,可以帮助检测今年1月至5月期间在野外发现的某些PlugX变种的威胁。
5月,我们在一个东南亚地区的政府官方网站上发现了水坑攻击活动。攻击者在3月部署的这个水坑攻击似乎是利用白名单和社会工程学技术来感染其目标。最终的Payload是一个简单的ZIP压缩包,其中包含一个自述文件,提示受害者执行CobaltStrike植入工具。用于执行CobaltStrike的机制是“DLL侧加载”,它解密并执行CobaltStrike阶段Shellcode。通过对代码、基础架构和受害者行为进行分析,我们非常有理由将这一水坑攻击归因到HoneyMyte APT威胁参与者。
Quarian是一个几乎鲜为人知的恶意程序,自2012年左右以来,就有使用中文的攻击者利用了该恶意程序。自此之后,我们没有发现任何后续活动,直至我们观察到Icefog恶意组织在2019年发起的攻击活动,该恶意程序死灰复燃。同时,我们注意到一个新的变种,该变种在2020年对中东和非洲政府的几次攻击中被使用。在其中的一个案例中,我们可以看到,该变种是利用政府网络中存在的CVE-2020-0688漏洞部署的。该漏洞在2020年2月公开披露,它允许经过身份验证的用户在Microsoft Exchange服务器上以SYSTEM身份运行命令。在案例中,服务器遭到了入侵,并托管了ChinaChopper Webshell,该Webshell用于获取Quarian和PlugX后门,并在后续启动。通过我们的分析,我们有一定把握推断这些攻击背后的恶意组织是CloudComputating。根据先前的分析,该恶意组织是使用中文的恶意组织,针对中东地区备受瞩目的外交目标发动攻击。
今年3月,Check Point Research的研究人员发表了一份报告,描述了针对蒙古公共部门的APT恶意活动,在恶意活动中利用以冠状病毒为主题的诱饵来进行最开始的入侵。我们还发现了其他针对相同目标的样本,以及另一个以COVID为主题的文档,同时还发现了他们针对俄罗斯的一些其他目标也发动了攻击。我们将该恶意活动归因于IronHusky恶意组织。
五、中东地区的恶意活动
MuddyWater APT在2017年被发现,此后一直活跃于中东地区。在2019年,我们报告了针对伊拉克和伊朗的电信运营商以及黎巴嫩政府机构的恶意活动。最近,我们在新的攻击活动中发现MuddyWater使用一个新的C++工具链,威胁参与者使用了一个称为“Secure Socket Funneling”的开源实用程序实现横向移动。
在5月底,我们观察到Oilrig在其工具集中包含了DNSExfitrator工具,该工具允许威胁参与者使用HTTPS(DoH)协议上的DNS。Oilrig长期使用DNS协议作为恶意软件通信的技术。基于DNS和基于DoH的请求之间的区别在于,它们将使用443端口传输加密数据包,而不再使用53端口的纯文本请求。Oilrig在其工具库中添加了可以公开使用的DNSExfiltrator工具,该工具允许DoH查询Google和Cloudflare服务。在这次恶意活动中,恶意软件运营者使用与COVID相关域名的子域名,我们在检测到的DNSExfitrator样本中发现了硬编码的域名。
六、东南亚和朝鲜半岛的恶意活动
BlueNoroff是APT组织中主要针对财务方面开展攻击的组织之一,我们已经发布了针对BlueNoroff恶意活动的几份报告。最近,我们发现了另一个自2017年以来一直处于活跃状态的恶意活动。在该恶意活动中,恶意组织发送包含网络存储快捷方式文件的鱼叉式网络钓鱼电子邮件。攻击者将文件名伪装成与安全性或加密货币相关的文件,以诱导用户执行这些文件。在这个快捷方式文件之后的感染链,是一个复杂的多阶段感染过程。在交付Windows可执行Payload之前,威胁参与者会使用两个VBS和三个PowerShell脚本来收集系统信息。威胁参与者非常小心地将最终Payload仅交付给其预期的目标。后门Payload还利用了多阶段感染程序。攻击者利用它来控制受感染的主机,并植入其他恶意软件以进行监视。这些恶意程序负责记录用户的按键,并保存受感染计算机的屏幕截图。该恶意活动的主要目标是金融机构,例如加密货币企业和金融科技公司。我们确定了来自10个国家的各种受害者,后续根据开源情报发现了更多潜在受害者。
多年以来,Lazarus恶意组织一直都是主要的威胁参与者。除了开展网络间谍活动和进行破坏之外,该威胁参与者还针对全球的银行和其他金融攻击开展攻击。直到现在,该恶意组织仍然非常活跃。我们最近观察到,Lazarus恶意组织使用Bookcode,一种我们认为是Manuscrypt变种的恶意软件,针对韩国的软件厂商开展攻击。Manuscrypt是Lazarus恶意组织的一个工具,目前正得到积极地更新和使用。该恶意组织曾经两次针对同一个目标进行攻击,在成功攻陷受害者的大约一年前,他们曾经试图将恶意软件伪装成一个知名安全工具来尝试入侵,但最终失败。我们可以构建出恶意组织的漏洞利用后活动,发现他们所使用的各种免费软件和红队工具。尽管Lazarus近期倾向于将重点更多地集中在金融行业,但我们认为,在这一恶意活动中,他们正在试图寻找知识产权。我们还观察到,该恶意组织此前使用与国防部门相关企业的诱饵文件来传播Bookcode。根据我们的观察,Bookcode恶意软件仅被用于网络间谍活动。
4月,我们发布了有关VHD勒索软件的警告,该勒索软件最早在3月下旬发现。之所以关注这一恶意软件,是由于其使用的自我复制方式非常独特。勒索软件针对每个受害者定制凭据,并使用该凭据编译用于传播的实用程序,这一特征非常像APT恶意活动,但当时我们无法将此次攻击与任何现有APT组织关联起来。但是,我们能够识别该事件与法国和亚洲的企业相关,并使用了已知的Lazarus工具部署VHD恶意软件。这表明,根据目前所发现的证据,Lazarus是VHD勒索软件活动的幕后黑手。据我们所知,这也是Lazarus首次利用有针对性的勒索软件攻击来获取金钱利益。
去年,我们曾经针对一个名为MATA的恶意软件框架发布了一份私有报告,我们推测它可能归因于Lazarus恶意组织。在恶意软件框架中包含了加载工具、协调工具和插件等组件。最初,该框架仅支持Windows和Linux。但是在4月,我们利用规则检测到了属于MATA恶意软件框架的可疑macOS文件,该文件已经被上传至VirusTotal。在研究了该恶意软件之后,我们确认它是MATA恶意软件的macOS变种。恶意软件开发人员对一个开源的双因素身份验证应用程序进行木马化,并利用了另一个开源应用程序模板。在调查过程中,为了找到更多可靠的归因证据,我们发现了一个古老的Manuscrypt恶意软件系列,它使用了类似的配置结构。我们还发现了可能与该恶意活动相关的C2服务器集群。
MATA框架并不是Lazarus针对macOS系统发起攻击的唯一方式。我们还观察到了与AppleJeus恶意活动相关的一系列活动。另一种方式类似于在TangDaiwbo恶意活动中使用的macOS恶意软件。这是一个针对多个加密货币交易平台的恶意活动,Lazarus利用嵌入宏的Office文档,根据受害者的系统类型有针对性地传播PowerShell或macOS恶意软件。
今年年初,我们报告了针对加密货币业务发动攻击的Lazarus恶意活动。在这个恶意活动中,Lazarus恶意组织使用了恶意下载工具,该工具可以发送被攻击主机的信息,并有选择地获取下一阶段的Payload。最近,我们发现了与之策略类似的Lazarus恶意活动,但针对的目标是学术和汽车领域。Lazarus还采用了新的方法来交付其工具。首先,该恶意组织使用远程模板注入技术对文档进行武器化。之前,Lazarus向受害者提供了嵌入宏的文件,但是现在该组织又使用了一个新的阶段来阻止被发现。该恶意组织还利用名为Sumatra PDF的开源PDF阅读器来制作木马化应用程序。他们创建了一个木马化的PDF阅读器,将其与精心制作的PDF文件一起发给受害者。如果受害者打开这个文件,则木马化的PDF阅读器会植入恶意文件,并显示诱饵文档以欺骗受害者。威胁参与者非常小心地交付最终Payload并在内存中执行。但幸运的是,我们还是成功获得了最终的Payload,并确认它属于Manuscrypt恶意软件的变种。我们还发现,它与美国网络安全和基础设施安全局(CISA)最近报告的COPPERHEDGE属于同一恶意软件变种。
在我们的报告中,曾描述了东南亚地区长期存在的PhantomLance,在此之后我们发布了一份私有报告,根据其中与OceanLotus APT恶意活动的重叠之处进行了详细的归因。特别是,我们发现它与之前的Android恶意活动之间存在多处代码相似的地方,并且macOS后门、基础设施与Windows后门之间存在重叠,几个跨平台版本存在相似之处。根据我们的研究,我们有信心地认为PhantomLance是OceanLotus在近期发起的Android恶意活动。除了归因之外,我们还分析了攻击者如何绕过应用程序市场过滤条件的传播策略。与此同时,还提供了与以前报告的可疑基础结构相关的样本的其他详细信息,以及2020年发现的使用Firebase解密其Payload的最新样本。
此外,OceanLotus自2019年下半年以来,一直在使用其多级加载工具的新变种。新变种使用预先获得的目标主机特定信息(用户名、主机名等),以确保他们的最终植入工具被部署到正确的受害者主机之中。该恶意组织持续部署其后门植入工具以及Cobalt Strike Beacon,并使用更新的基础架构对其进行配置。
七、其他值得关注的发现
Deceptikons APT是一个长期从事间谍活动的组织,据说该组织已经在近十年的时间内提供“雇佣军”服务。该恶意组织的技术水平不高,据我们所知,他们尚未部署0-day漏洞。Deceptikons使用基础设施和恶意软件集的过程非常巧妙,在一定程度上弥补了技术不太先进的缺点。他们使用的恶意软件也是高度持久化的,许多特性都能让我们联想到WildNeutron。Deceptikons多次针对商业和非政府组织的目标发动攻击,这对于APT参与者来说有些不同寻常。在2019年,Deceptikons针对一系列欧洲律师事务所发动钓鱼攻击,部署了PowerShell脚本。与以前的恶意活动一样,威胁参与者需要诱导用户进行交互,利用修改后的LNK文件来初步破坏系统,并执行PowerShell后门。该恶意组织的目标很可能是获取特定的财务信息、谈判的细节,甚至有可能是律师事务所客户的证据。
我们将一个复杂的恶意软件框架命名为MagicScroll(又称为AcidBox),其主要目的是在内核模式下解密和加载任意Payload。该框架共包含几个阶段。第一阶段是一个Windows安全提供程序,在引导时由系统加载并在用户模式下运行。第一阶段的程序将解密并运行第二个Payload,该Payload实际存储在注册表中。尽管在第二阶段我们无法找到受害者,但我们能够找到与第二阶段预期格式相匹配的文件。第二阶段Payload利用VirtualBox驱动程序中的一个知名漏洞(CVE-2008-3431)来加载第三阶段,该阶段被设计为以内核模式运行。第三阶段将使用从注册表中检索到的密钥,从第二阶段的资源中解密内核模式Payload。但遗憾的是,我们没有找到用于解密第三阶段Payload的解密密钥,因此我们不清楚该恶意软件框架中最后一部分的细节。尽管代码非常复杂,但我们没有发现该框架与其他已知框架存在相似之处。
Aarogya Setu是由印度国家电子信息技术部下属的国家信息中心开发的COVID-19疫情移动追踪应用程序,它允许用户访问印度的基本卫生服务。网络犯罪分子和APT参与者利用这一流行的应用程序来分发木马化的移动应用,我们调查并确定了一些模仿合法Aarogya Setu应用程序外观和行为的恶意RAT应用程序。我们认为其中之一是RAT的新版本,此前曾经披露过该RAT已经被名为Transparent Tribe的威胁参与者利用。
八、总结
在威胁趋势中,并非总能包含“突破性”事件。但是,如果我们对APT威胁行为者恶意活动进行回顾,可以发现其中存在值得关注的发展过程。我们每季度发布的报告,就着力于揭露这些关键的发展过程。
以下是我们在2020年第二季度发现的主要趋势。
1、地缘政治仍然是某些APT威胁参与者的重要动机,例如MuddyWater的恶意活动、Middle East Eye网站的攻击活动以及CloudComputating和HoneyMyte恶意组织的活动。
2、从Lazarus和Bluenoroff的恶意活动中可以明显看出,经济收益是某些威胁参与者的另一个驱动因素,这些恶意活动中也包括使用勒索软件攻击。
3、尽管东南亚仍然是APT活动的主要活跃区域,但本季度我们还观察到使用中文的恶意组织呈现活跃状态,包括ShadowPad、HoneyMyte、CactusPete、CloudComputating和SixLittleMonkeys。
4、APT威胁参与者继续利用软件漏洞,包括本季度发现的Hades和MagicScroll。
5、我们此前已经关注到,使用移动端恶意植入工具已经不是一个新鲜的攻击思路,本季度PhantomLance的恶意活动就很好地证明了这一点。
6、显然,APT威胁参与者如同机会主义网络犯罪分子一样,继续利用COVID-19大流行来吸引潜在受害者。但是,这并不意味着攻击者使用的TTP有所变化。
与往常一样,上述报告是基于我们对可见的威胁态势的分析。但是,尽管我们持续改进,但仍然可能会有其他复杂的攻击活动尚未被我们监测到。