快捷搜索:  网络  CVE  渗透  后门  扫描  木马  黑客  as

2018 Q2季度APT趋向讲演

近日卡巴斯基实验室对外发布第二季度APT趋向讲演,总结近几个月那些有名的APT构造都干了些什么,这些有名APT构造包括Lazarus、Scarcruft、DarkHotel、LuckyMouse、Sofacy等。无非,本季度最受瞩目的APT攻击事故当属FBI暴光的VPNFilter,首要针对环球大批的收集硬件以及存储解决方案,据称与APT构造Sofacy以及Sandworm(Black Energy)有关。

重大的新发现

2018年Q2季度的APT活动无比有趣,收集硬件已成为APT构造理想的攻击目标,并且已经最先看到针对这些设备的第一批高级攻击事故。但就知名黑客构造而言,亚洲区域的攻击者是迄今为止最为活跃的。

作为较大规模收集间谍活动的一部分,黑客技术,Lazarus/BlueNoroff构造疑似与针对土耳其金融机构以及拉丁美洲在线赌场的攻击事故有关。并且进一步观察到了Lazarus构造针对亚洲金融机构的攻击活动,该构造在过去几年里曾提议过量次攻击事故,在某些情形下还会重复行使大批代码,这就使得我们可以将一些新发现的攻击活动与Lazarus进行关联。Manuscrypt恶意软件就是其中一个很好的例子,Lazarus构造在近期提议的多次攻击事故中均使用了该工具,US-CERT(美国计算机应急响应小组)在6月份也针对Manuscrypt的新版本发布了安全预警,并将其命名为TYPEFRAME。

180709-APT-Trends-report-Q2-2018-1.png

US-CERT针对Lazarus使用的Manuscrypt/TYPEFRAME恶意软件发布预警

眼下朝鲜正在踊跃参加以及平会商,绝管暂不清楚Lazarus构造在这一新的地理政治格局中将饰演何种角色,但其攻击举动(通过BlueNoroff或Andariel小组实施)受经济利益驱策这一点是不变的。

当然,Scarcruft构造(又称Group12三、Reaper)相对于激烈的攻击活动可能更为有趣。早在今年一月份,Scarcruft构造就被监测到行使0day漏洞CVE-2018-4878攻击韩国,表明该构造的攻击能力正在抬举。过去几个月里,也有拿获到该构造滥用Android恶意软件和传播新型后门程序“POORWEB”的恶意举动,奇虎360发现的0day漏洞CVE-2018-8174最初也曾嫌疑Scarcruft就是幕后黑手,无非后来证明与另一个APT构造DarkHotel有关。

有关APT构造Scarcruft以及DarkHotel的渊源,可追溯至2016年监测到的两起攻击事故:“Operation Daybreak”以及“Operation Erebus”,两次攻击都行使了同一个被黑掉的网站来传播exp,其中就包含一个0day漏洞:

1_5.png

黑客构造DarkHotel提议的“OperationDaybreak”活动,首要通过鱼叉式钓鱼邮件以及Flash Player零日漏洞攻击中国受害者;与此同时,Scarcruft构造提议的“Operation Erebus”步履则首要针对韩国。

180709-APT-Trends-report-Q2-2018-2.png

对DarkHotel的CVE-2018-8174漏洞行使阐发显示,无论受害者电脑上默认的阅读器是什么,攻击者都可通过Word文档中的URLMoniker来调用IE,这是前所未有的新手艺,信赖在未来不同的攻击事故中还会用到。具体阐发可参阅此前的博文“TheKing is Dead. Long Live the King!”。

此外我们还监测到一些相对于安静的黑客构造提议的攻击事故,LuckyMouse(又名APT2七、Emissary Panda)就是一个很好的例子,该构造滥用亚洲的ISPs(互联网服务供应商)来针对高端网站进行水坑攻击。6月份我们曾报导过该构造针对国家数据中心的攻击事故,随后在中国举行峰会期间,LuckyMouse又针对亚洲当局构造提议了新一轮攻击活动。

无非,本季度最受瞩目的安全事故当属FBI暴光的VPNFilter攻击活动,首要针对国内大批的收集硬件以及存储解决方案,据信与APT构造Sofacy以及Sandworm(BlackEnergy)有关。为入侵更多与受感染收集设备关联的电脑,VPNFilter甚至能将恶意软件注入到流量中,为此研究人员还提供了此款恶意软件EXIF(Exchangeable image file format:可交换图像文件格式)到C2机制的阐发讲演。

收集硬件事实是怎么样成为复杂攻击者的优选目标的?VPNFilter系列攻击活动就是最佳的佐证之一。Cisco Talos研究人员所提供的数据表明,该活动的影响范围是真正意义上的环球性的,从阐发效果来看,几乎每一个国家都可以找到与之相干的蛛丝马迹。

知名黑客构造的攻击活动

近几年来,一些较为活跃的黑客构造似乎缩小了攻击频率,但这并不象征着其威胁程度也在随之削弱。例如,据地下报导,黑客构造Sofacy最先启用新的、免费可用的模块作为某些受害者的最后攻击阶段。而研究人员之所以注意到这点,则是源于该构造军火库的另一项创新,即新增了用Go编程说话编写的全新下载器(downloaders),用以传播Zebrocy恶意软件。

对于假设并未进行恶意活动的黑客构造,这儿可能有个值得注意的例外。自客岁1月份针对平昌冬奥会的“Olympic Destroyer”攻击活动后,研究人员在欧洲监测到了疑似由同一构造(内部称其为“Hades”)提议的攻击活动。此次活动的攻击目标是俄罗斯的金融构造,和欧洲以及乌克兰的生物化学威胁防御实验室。

180709-APT-Trends-report-Q2-2018-3.png

更有趣的是,“Olympic Destroyer”系列攻击步履的TTPs(战术、手艺及作战程序)以及OPSEC(Open Platform for Security:收集安全的开放式平台)均与Sofacy构造存在相似性。无非前者擅于诈骗,所以这也可能只是“Olympic Destroyer”的障眼法,但目前把Hades构造以及Sofacy关联起来仍具有“低至中等”的可托度。

研究人员监测到的最有趣的攻击举动之一,是一个来自Turla(对关联程度有中等决心信念)的植入物“LightNeuron”。该恶意程序目标直指Exchange Servers,并使用合法的标准调用指令来拦截电邮、窃取数据、甚至以受害者的名义发送邮件。研究人员认为幕后黑客自2014年以来就始终在使用该手艺,其中还有一个版本会影响运行Postfix以及Sendmail的Unix服务器,目前已知的受害者首要分布在中东以及中亚区域。

新秀与宿将

那些蛰伏数月甚至数年的老牌黑客们,时不时地就会传播新型恶意软件。虽然此种行动有难免有刷存在感的怀疑,但最少表明他们仍在活跃。

WhiteWhale就是一个好例子,该黑客自2016年以来就出奇地安静,直到客岁4月研究人员才监测到与之相干的新动态:传播Taidoor以及Yalink这两个恶意软件家族,日本实体成为其不二目标。

伴随朝鲜以及谈和随后与美国总统在新加坡的会面这一系列紧凑的外交活动,Kimsuky决定在新一轮的攻击活动中行使该话题来传播恶意软件,其军火库在2017年尾以及2018年初进行了大规模的更新,并掀起了一波新的鱼叉式钓鱼邮件活动。

研究人员还发现了一种新的、不是很复杂的攻击举动“Perfanly”,但尚不清楚其幕后黑手,该活动最少从2017年以来就始终针对马来西亚以及印度尼西亚的当局实体,攻击过程中有自定义的多阶段droppers,也有诸如Metasploit此类的可供免费使用的黑客工具。

六七月份的时辰,研究人员监测到了针对科威特多个机构的一系列攻击活动,首要通过行使启用宏的Office文档作为攻击前言,并使用DNS来传递VBS以及Powershell脚本的组合体以执行命令以及控制。此前,研究人员也曾从Oilrig以及Stonedrill等构造处监测到类似的攻击活动,因此绝管目前将二者关联起来的可托度为“低”,却不能否认其存在。

总结

一些简单的自定义工具的组合,主若是用于藏避检测,在后期阶段中使用业已地下的工具似乎也是某些攻击活动的趋向地点,譬如与“Chinese-speaking umbrella”相干的攻击举动,和那些无门槛接触APT收集间谍活动的小白们。

许多攻击者的间歇性活动只是单纯刷存在感而已,他们可能需要通过小憩来进行内部调整,或者是在环球范围内进行不易被察觉的小型攻击活动。LuckyMouse也许是其中最有趣的案例之一,新的攻击活动老是以及亚洲的地理政治议程密不可分。虽然没法探知LuckyMouse与该区域的其他黑客构造是否存在协同合作的情形,但也不排除这个可能性。

在过去10个月里,讲中文的攻击者针对蒙古国实体提议的高级攻击也很是有趣,疑似与亚洲国家就朝鲜关系在蒙古国之举行的一些峰会有关,和这些国家在当地将饰演的新角色。

NCSC以及US CERT也发布了一些关于Energetic Bear/Crouching Yeti攻击活动的预警。绝管暂未把握该攻击者的活跃度情形(因为预警信息基本上都是针对已发生的事故),但也应该重视其对某些行业潜伏威胁影响。

总之,无比有必要夸大一下收集硬件对高级攻击者的重要性。近几个月来已发生太多的案例,对于那些仍未意想到这一点的人而言,VPNFilter事故无疑就是一记警钟。

*参考来源:Securelist,秋雨绸缪编译,

您可能还会对下面的文章感兴趣: