2020年度安全人员跟踪900多个高级威胁活动,可在季度报告中找到详细信息。本文将集中讨论过去12个月中APT攻击的特点。
Windows之外
Windows仍然是APT的主要关注点,但今年也观察到了许多非Windows的共计活动。例如,Lazarus的MATA恶意软件框架。4月发现MATA扩展到Windows和Linux以外的系统,包括macOS。Lazarus利用宏嵌入的Office文档并根据受害者的系统传播PowerShell或macOS恶意软件。
安全人员发布了Penquin家族分析报告,并在5月发表有关Penquin_x64的技术分析。Penquin_x64是Turla的Penquin GNU/Linux后门变体,分析指出Turla可能会利用Penquin进行除传统情报以外的其他操作。
在2020年第三季度APT趋势报告中描述了TunnelSnake攻击活动。攻击者利用了开源工具Earthworm和Termite,生成远程shell并在主机之间建立隧道通信。这些工具能够在IoT设备等多种体系结构上运行,表明攻击者已经将此类设备作为新的目标。
UEFI固件感染
在针对某次攻击的调查中发现了一个UEFI固件映像,固件模块是基于Vector EDK的bootkit,植入的恶意软件是下载器。通过分析提取恶意软件特征,发现了一系列类似的样本,这些样本自2017年以来一直被用于外交组织,它们的业务逻辑大部分是相同的,但一些附加功能或在实现上有所不同。
手机恶意攻击
今年发现许多针对移动平台的APT组织。今年1月,发现了一个利用了完整远程iOS攻击链的水坑。该网站针对香港用户设计。目前使用的都是已知漏洞,攻击者正在改进漏洞利用工具,以针对更多的iOS版本和设备。它还支持Android、Windows、Linux和macOS等平台。
今年8月,研究人员发表了关于透明部落的第二份分析报告。其中包括该组织用来攻击渗透安卓设备的恶意软件。恶意程序伪装成印度政府开发的Aarogya Setu COVID-19跟踪应用程序,主要针对印度的军事人员,通过WhatsApp、短信、电子邮件或社交媒体发送恶意链接进行传播。
今年6月,观察到一组新的恶意安卓下载程序,这些下载器从2019年12月起就已经出现在网络中,主要针对巴基斯坦。美国NTISB在1月份的一份报告中分析了恶意软件共享相同的C2s,目标是巴基斯坦军方机构,攻击者利用WhatsApp信息、短信、电子邮件和社交媒体作为最初的传播媒介。
官方点名
5月,英国国家网络安全中心(NCSC)和美国国土安全部(DHS)发布联合警告,两国都在调查针对制药公司,医学研究组织和制药公司的网络攻击事件。
7月30日,欧洲理事会对六名个人和三个实体实施制裁,这些个人和实体参与了多个网络攻击活动,制裁包括禁令旅行和资产冻结,禁止欧盟个人和实体向所列人员提供资金。
9月,美国司法部发布了三份黑客起诉书,这些黑客与APT41和其他网络攻击活动有关,包括Barium, Winnti, Wicked Panda,Wicked Spider。美国司法部与马来西亚政府合作之后,两名马来西亚国民于9月14日被捕,罪名是“非法计算机入侵”。根据起诉书中的信息可将这些入侵行为与ShadowPad和ShadowHammer联系起来。
10月,美国司法部起诉六名俄罗斯军官进行了多次网络攻击,其中包括NotPetya,2018年奥林匹克驱逐舰袭击事件以及Novichok中毒事件。英国NCSC还指控俄罗斯的GRU军事情报部门对东京奥运会的官员进行攻击。
“刚刚好”就够了
APT攻击并不总是需要复杂技术,DeathStalker说明了这一点。DeathStalker目标主要集中在律师事务所和金融行业,它收集敏感的商业信息,提供黑客服务,或在金融界充当信息经纪人。
本季度,发现了该组织基于LNK的入侵线索。该组织一直在开发其工具包,采用自2018年以来相同的策略,同时加大了逃避检测的力度。
2020年6月底发现DeathStalker的有趣变化。例如,恶意软件使用嵌入的IP地址或域名直接连接到C2服务器,它使用至少两个DDR或web服务来获取真实的C2 IP地址或域。攻击者并不仅仅局限于发送鱼叉式网络钓鱼邮件,而是通过多封电子邮件积极与受害者接触,说服他们打开诱饵。此外,攻击者在入侵中使用基于Python的恶意工具,这是第一次发现攻击者放弃PE二进制文件作为中间阶段来加载evillum。还发现了该组织自2020年第二季度以来使用的复杂度较低的恶意软件,它依赖于HTTPS上的DNS(DoH)作为C2通道。2020年10月,发现并分析了该组织的PowerPepper工具集的新样本,包括改进的沙盒检测技术。
COVID-19
在COVID-19大流行之后,许多国家采取封锁措施,攻击者不断地利用人们对这种疾病的恐惧发起网络攻击活动。大多数与COVID-19相关的网络钓鱼都是网络犯罪分子为赚钱发起的。但是,据OSINT(开源情报)称,攻击者名单中包括拉扎鲁斯(Lazarus)、响尾蛇(Sidewinder)、透明部落(Transparent Tribe)、第21组(GroupA21)等。研究人员还发现Kimsuky、APT27、IronHusky和ViciousPanda也在使用COVID-19为主题的诱饵来攻击受害者。
在WellMess报告之后,英国国家网络安全中心(NCSC)与加拿大和美国政府发布了一份关于WellMess最新活动报告。这三个国家政府把针对COVID-19疫苗研究的恶意软件归咎于Dukes(又称APT29和Cozy Bear)。