近日,ESET发布了2022年第三季度APT攻击活动报告,总结了从2022年9月至12月底观察、调查和分析的选定高级持续性威胁(APT)组织的活动。
报告指出,在监测的时间范围内,与俄罗斯相关的APT组织继续针对乌克兰采取特别行动,大规模部署破坏性擦拭器(wiper)和勒索软件。在一些案例中,我们发现臭名昭著的“沙虫(Sandworm)”组织正在使用前所未见的wiper攻击乌克兰的一家能源公司。而与此同时,俄罗斯武装部队也在开始对能源基础设施发动导弹袭击,虽然我们无法证明这些事件是相关联的,但至少可以表明“沙虫”和俄罗斯军队在攻击目标方面存在相关性。
此外,与伊朗相关的APT组织仍在持续活跃,除了以色列本土公司外,POLONIUM组织也开始针对以色列公司的境外子公司,Muddy Water组织则瞄准了一家受管理的安全提供商。
在世界各地,与朝鲜相关的组织正在利用旧漏洞攻击加密货币公司和交易所;有趣的是,Konni组织在其诱饵文件中增加了使用语言,包括英语,这意味着它可能会将目标扩展到俄罗斯和韩国之外。此外,我们还发现了一个网络间谍组织,其目标是中亚的知名政府机构;我们将其命名为“鲟鱼菲舍(SturgeonPhisher)”。
ESET APT活动报告详细介绍了特定APT组织的活动,以帮助那些负责保护公民、关键国家基础设施和高价值资产的组织免受国家行为体犯罪组织的攻击。
APT活动关键目标国家/地区:
- 中亚;
- 埃及;
- 欧盟;
- 中国香港;
- 以色列;
- 日本;
- 拉脱维亚;
- 波兰;
- 沙特阿拉伯;
- 塞尔维亚;
- 韩国;
- 坦桑尼亚;
- 乌克兰;
- 美国
目标业务领域:
- 基于区块链的解决方案(Web3)开发商;
- 加密货币公司和交易所;
- 国防;
- 能源行业;
- 工程;
- 金融服务;
- 博彩公司;
- 物流;
- 托管安全提供商;
- 制造业;
- 国家和地方政府;
- 政治实体;
- 卫星通信公司
伊朗相关APT组织活动
2022年第三季度,与伊朗相关的APT组织继续保持高运作节奏。一场与APT35活动相吻合的攻击行动被发现并记录在案;MuddyWater倾向于利用受损的基础设施和定制的基于脚本的工具积极地针对中东的受害者;POLONIUM继续利用其定制后门CreepyDrive将攻击重点从以色列扩展到以色列公司境外子公司;而WildPressure也带着其后门Milum的更新版本重回舞台。
APT35
我们正在跟踪一项与APT35重叠的运动,该运动始于2020年底,并自那时起便断断续续地开展活动。该行动最初由Mandiant记录,我们最近发现并分析了使用ConfuserEx(T1027)打包的样本,这是一个用于.NET应用程序的开源保护程序,用来隐藏他们的后门NorthStarC2。这是一个为红队和渗透测试设计的开源C&C框架。该组织还将其C&C服务器转移到了新的IP。
MuddyWater
MuddyWater仍然是基于脚本的后门和开源工具的活跃用户。
ESET研究人员正在跟踪针对埃及和沙特阿拉伯受害者的一项新的MuddyWater运动,MuddyWater正在使用远程访问工具SimpleHelp和托管安全提供商的SimpleHelprelays来交互式访问受害者的系统。这表明MuddyWater可能在某种程度上损害了托管安全提供商,从而使他们对SimpleHelp的使用合法化(在防御者看来)。
操作人员使用SimpleHelp分发了Ligolo(MuddyWater长期青睐的反向隧道工具),以及MiniDump(LSASS转储器)、CredNinja(凭证转储器)和MKL64(MuddyWater的自定义凭证收集器)。
在另一起针对以色列制造商的攻击中,MuddyWater使用PowerShell信息收集脚本和Venom(渗透测试的多跳代理程序)。MuddyWater操作人员还试图使用ProcDump从LSASS转储内存,但被ESET软件阻止。
POLONIUM
从9月中旬到2022年11月底,ESET的研究人员观察到POLONIUM开始针对塞尔维亚的一家以色列公司,这明显偏离了它以往只针对以色列受害者的目标。POLONIUM使用一个修改版的CreepyDrive(自定义后门)对受害者的系统执行侦察命令,并使用Dropbox作为C&C服务器。
POLONIUM使用CreepyDrive每5秒截取一次截图,将它们压缩成10个批次的ZIP存档,并上传到Dropbox。最后,POLONIUM使用CreepyDrive通过PowerShell上传并执行一个PuTTY二进制文件,该二进制文件建立了一个远程隧道到第二个C&C服务器。
WildPressure
ESET研究人员观察到两个新版本的Milum后门,Milum是自定义的WildPressure后门,至少从2019年开始使用,并在野部署。新版本在很大程度上保持了与以前版本相同的代码库,但是,为了逃避检测,它进一步实现了字符串和API函数调用的rc4加密,以及执行动态API解析。
朝鲜相关APT组织活动
朝鲜黑客在2022年第三季度仍然十分活跃,并继续使用旧漏洞针对加密货币公司和交易所等目标实施攻击。
ESET研究人员发现,Kimsuky组织在TTP或目标上并没有任何重大变化,但Lazarus和Konni组织则开始首次使用CHM文件来传递恶意软件。CHM文件是微软编译的HTML帮助文件,包括HTML页面、JavaScript、图像和导航工具。
Konni
我们观察到,Konni组织的攻击目标发生了不同寻常的转变。以往,Konni主要针对俄罗斯人和韩国人,这意味着诱饵文件通常是用这些语言编写的。但现在,它开始在其诱饵文件中增加了英语等语言。此外,我们还首次监测到Konni正在使用CHM文件来传递恶意软件。
有趣的是,在这次活动中使用的CHM文件还包含了两张扫描图像,其中包括一封发给俄罗斯官员的邀请函。考虑到这封信是俄文的,而且也不是CHM内容的一部分,ESET的研究人员认为这些图片是早期针对俄罗斯政府组织的活动的残余。
Lazarus
Lazarus继续使用类似于“Operation DreamJo”的策略,目标是坦桑尼亚的金融机构以及拉脱维亚的Web3开发商。该组织使用了各种VM保护有效载荷,包括两个新的远程访问木马(RAT),我们称之为“BackbitingTea”和“secondhandtea”。我们还看到他们在妥协的java服务器上使用webshell,文件名很有趣:wannknow .jsp和wannago.jsp。在分析过程中,这些名字很显眼,让我们想起了2017年Lazarus发动的臭名昭著的“Wannacry”行动。
当我们在2020年首次报道“Operation Interception”时,这次行动和“Operation Dream Job”之间有明显的区别。然而,随着时间的推移,这种区别变得越来越模糊。我们首先注意到两者之间有网络基础设施重叠,现在已经看到一些恶意软件工具集也被共享的情况。传统的针对国防和航空航天部门的行动已经得到扩展,因为我们也看到他们的工具被用于加密货币平台的诱饵活动。
Andariel
最后,我们发现了Andariel的一项活动,该活动利用最近针对Confluence(CVE-2022-26134)的RCE漏洞对总部位于韩国的一个组织进行了破坏。这个活动使用了Andariel的TigerRAT后门,但也使用了一个用Go编写的新后门,我们将其命名为“ApolonTroy”(命名是基于恶意软件主体中发现的字符串)。我们还注意到该组织使用各种SOCKS代理,其中一个使用了公开的shadowsocks-go GitHub项目。
俄罗斯相关APT组织活动
与2022年第二季度类似,俄罗斯相关APT组织在第三季度继续保持活跃态势,特别是针对乌克兰的攻击活动。这些组织包括Sandworm、Callisto、Gamaredon以及the Dukes。
Callisto
该组织也被称为COLDRIVER或SEABORGIUM,最近一直忙于注册数十个域名,然后用于进行鱼叉式网络钓鱼攻击,以窃取网络邮件证书。
其网络基础设施规模的迅速扩展可能是最近受到SEKOIA博客、普华永道和路透社等公众关注的缘故。根据该组织注册的一些域名表明,Callisto可能针对的是美国卫星技术公司蓝天网络(blueskynetworkshared.com)和波兰国防公司UMO(umopl-drive.com)。
Gamaredon
Gamaredon仍然是乌克兰实体的主要威胁。据报道,其典型的鱼叉式网络钓鱼活动使用的是HTML夹带(HTML smuggling),当目标打开附加到电子邮件的HTML文件时,它会显示一个对话框,用于下载RAR存档,但存档是HTML附件中编码的base64。RAR存档中包含一个带有恶意LNK文件的文件夹,该文件从C&Cserver下载下一阶段并使用mshta.exe执行。
有趣的是,我们观察到从合法的电子邮件地址发送的电子邮件消息的格式为<number>@mail.gov.ua。这样的电子邮件帐户通常是为了联系乌克兰的电子法院而注册的纳税人ID。使用这些合法的电子邮件地址进行钓鱼可能有助于Gamaredon运营商绕过垃圾邮件过滤器。此外,这可能会大大增加他们欺骗受害者打开电子邮件附件的机会。
在第三季度,该小组主要使用PteroCDrop、PteroLNK和pteropsdoor等植入物。我们还发现了一个新的VBScript后门,命名为PteroVDoor。有趣的是,几乎所有的PteroLNK有效载荷都使用Telegram通道来获取其C&C服务器的IP地址。
The Dukes
在第二季度报告中,我们描述了the Dukes(又名APT29)针对西方国家政府组织进行的鱼叉式钓鱼活动。令人惊讶的是,这些活动的数量在2022年6月底急剧下降。很可能是他们在过去几个月获得的关注降低了这些活动的有效性,所以他们决定暂停行动。
直到10月份,我们才在VirusTotal上发现了一个与该组织几个月前使用的下载器非常相似的下载器。主要的区别在于,它滥用了用于C&C通信的云端笔记软件平台Notion。我们认为这个下载程序的目的是获取和执行Cobalt Strike。
Sandworm:与俄乌战争有关的活动
除了这些活动外,我们还观察到与俄罗斯-乌克兰战争有关的各种网络攻击的持续,我们之前在T1和T2 ESET威胁报告中都简要描述过。ESET研究人员将这些事件归咎于“沙虫(Sandworm)”组织。
今年10月,我们在乌克兰发现了一款新版本的CaddyWiper。与之前使用的变体不同,这次CaddyWiper被编译为x64 Windows二进制文件。 同月,我们又发现了上传到VirusTotal的一个新版本的HermeticWiper。这个HermeticWiper样本的功能与之前的版本相同,但存在一些小的变化,例如,一些字符串在堆栈上构造而不是使用静态形式,一些擦除功能以不同的顺序完成等等。
除此之外,我们还发现了一种前所未见的擦拭器(Wiper),我们将其命名为NikoWiper。2022年10月,乌克兰能源部门的一家公司就遭到了该Wiper攻击。据悉,NikoWiper是基于SDelete构建的,后者是来自微软的命令行实用程序,用于安全删除文件。这次攻击发生在俄罗斯武装部队用导弹袭击乌克兰能源基础设施的同一时期。即使我们没有证据证明这些事件之间的关联,但至少可以表明沙虫和俄罗斯武装部队具有相同的目标。
除了直接的数据擦拭恶意软件外,我们还监测到Sandworm攻击使用“勒索软件即擦拭器”策略。在这些攻击中,攻击者虽然使用的是勒索软件,但最终目的却与擦拭器相同:数据破坏。与传统的勒索软件攻击不同,这里的攻击者并不打算提供解密加密数据的密钥。
2022年10月,我们发现Prestige勒索软件被部署在乌克兰和波兰的物流公司。2022年11月,我们在乌克兰发现了用.NET编写的新型勒索软件,并将其命名为RansomBoggs。该勒索软件多次指向Monsters公司。我们观察到该恶意软件操作者使用POWERGAP脚本来部署这个文件编码器。
其他值得关注的APT活动
SturgeonPhisher
SturgeonPhisher是我们在2022年初发现的一个网络间谍组织。它主要针对中亚地区的政府机构,使用仿照官方邮件门户网站的钓鱼网站。在T3期间,该组织非常活跃,进行了多次钓鱼活动,并创建了许多新的钓鱼域名。我们认为,SturgeonPhisher也是Cyjax在2021年曝光的钓鱼活动背后的组织。
该组织使用一个类似犯罪软件(crimeware)的工具包,其中包括Warzone RAT,一个反向shell2,一个在GitHub上可用的名为stink3的偷窃程序,以及一个用Rust编写的后门,我们将其命名为RustyRAT4。最近,SturgeonPhisher开始分发嵌入恶意lnk文件的VHDX5磁盘映像,尽管微软已经修复了该Web绕过漏洞。
原文链接:
https://www.welivesecurity.com/wp-content/uploads/2023/01/eset_apt_activity_report_t32022.pdf