六年多来，卡巴斯基全球研究和分析团队（GReAT）一直致力于分享有关高级持续性威胁（APT）的季度更新。这些摘要基于卡巴斯基的威胁情报研究，旨在突出公众应该了解的一些关键事件和发现。

以下是卡巴斯基在2024年第二季度观察到的一些重要活动。

最值得注意的发现

3月份，在XZ（一个集成到许多流行的Linux发行版中的压缩实用程序）中发现了一个后门。这个后门化库的危险在于OpenSSH服务进程sshd会使用它。在几个基于systemd的发行版上（包括Ubuntu、Debian和RedHat/Fedora Linux），OpenSSH已支持使用systemd功能，因此依赖于该库（注意，Arch Linux 和 Gentoo 不受影响）。攻击者的最终目的很可能是为sshd引入一种别人无法使用的远程代码执行能力，然后将后门代码推送到主要的Linux发行版中，作为大规模供应链攻击的一部分。攻击者使用社会工程来获得对源/开发环境的长时间访问，并通过在特定情况下伪造人类交互来扩展访问，以建立引入恶意代码的可信度。

liblzma库中的后门是在两个层面引入的。生成最终软件包的构建基础设施的源代码被轻微修改（引入了一个额外的文件build-to-host.m4），以提取隐藏在测试用例文件（bad-3-corrupt_lzma2.xz）中的下一阶段脚本。然后，这些脚本又从另一个测试用例文件（good-large_compressed.lzma）中提取了一个恶意的二进制组件，在编译过程中与合法库进行链接，并被交付到Linux存储库的合法库。一些大型供应商最终在没有意识到的情况下以beta和实验版本发布了该恶意组件。XZ Utils漏洞的标识符为CVE-2024-3094，其严重程度为最高的10分。

攻击者最初的目标是成功地钩住与RSA密钥操作相关的一个函数，以便监视对被感染计算机的每个连接。在对钩子进程进行进一步分析后，研究人员发现了一些关于后门功能的有趣细节：

• 攻击者设置了防重放功能，以确保后门通信不会被捕获或劫持；
• 开发者使用自定义隐写技术将后门解密的公钥隐藏在x86代码中；
• 后门挂钩了日志记录函数，以隐藏未授权连接SSH服务器的日志；
• 后门挂钩了密码认证函数，允许攻击者使用任何用户名/密码登录受感染的服务器，而不进行任何进一步的检查。它还对公钥身份验证执行相同的操作；
• 后门具有远程代码执行能力，这意味着攻击者可以在受感染的服务器上运行任何系统命令。

中东地区

Gaza Cybergang至少从2012年开始活跃，目标是中东和北非。当研究人员首次开始追踪这个组织时，它的攻击本质上是相对基础的，通常依赖于像QuasarRAT这样的公开恶意软件家族。尽管如此，该组织展示了一种我们今天仍然可以看到的特殊的TTP——每次攻击只针对少数几个目标。今年年初，研究人员发现了几起涉及Gaza Cybergang的案件，其中威胁行为者对其TTP进行了轻微调整。该组织不再使用tabcal.exe作为装载其初始访问下载程序IronWind的工具，而是改用了另一个合法的Windows Media Utility文件setup_wm.exe。诱饵也改成了一个更通用的主题，而非专注于特定的地缘政治局势。

东南亚和朝鲜半岛

2023年，研究人员在调查一组恶意软件家族的攻击时发现了Mysterious Elephant，这些恶意软件家族看起来与其他已知的威胁参与者（如SideWinder和Confucius）有关。但当进一步分析其基础设施时，研究人员意识到这些攻击实际上并不是由任何先前已知的参与者发起的，而是由一个名为“Mysterious Elephant”的新威胁组织发起的。从那以后，该威胁组织一直保持活跃，并且自我们最初报告以来已经发起了多起攻击。研究发现了大量由Mysterious Elephant在最近的攻击中开发和使用的新恶意软件家族，以及最近创建的基础设施和更新的后门和加载程序，以尽量减少攻击早期阶段的检测。

黑客行动主义

自2022年2月俄乌冲突爆发以来，双方都出现了数百个不同的黑客行动主义团体。其中之一就是-=Twelve=-。该组织因宣称已入侵俄罗斯联邦的多个政府和工业企业而扬名。一些目标已公开发布在该组织的泄露站点上，而其他目标仍处于阴影之中。虽然互联网上有一些来自各种网络威胁情报（CTI）供应商关于Twelve团伙的报告，试图描述该团伙的活动，但尚未看到任何详细描述其攻击中所用工具和技术的报告。

2月，阿尔巴尼亚地理和统计研究所（INSTAT）遭到攻击。这次攻击是“Homeland Justice”组织发起的，该组织自称是黑客主义组织，但被怀疑是国家资助的组织，三年多来一直在无情地攻击阿尔巴尼亚的目标，尤其是政府部门。攻击者成功获得了超过100TB的数据，并破坏了目标组织的官方网站和电子邮件服务，清除了数据库服务器和备份。攻击的主要原因之一是在阿尔巴尼亚领土上存在一个Mujahedeen-e-Khalq（MEK）难民营，Homeland Justice认为这个团体是恐怖组织，并认为阿尔巴尼亚政府的特定部门和某些公司为他们提供支持和资金。威胁行为者正在进行持续的网络行动，旨在传达其反MEK的政治信息。他们正试图在阿尔巴尼亚人民中获得支持，让政府放弃MEK——他们的行动被框定在所谓的心理战（PsyOps）活动中。

研究人员分析了该组织的活动历史，其中包括近三年的网络攻击，旨在对阿尔巴尼亚政府和民众施加长期压力。在报告中，研究人员详细描述了其主要活动，从涉及与具有相同目标的联盟组织合作的复杂行动到机会主义攻击。报告还描述了该组织采用的主要技术，其范围从利用面向互联网的服务器进行初始访问，横向移动活动，扩展攻击面，到在网络操作的最后破坏性阶段使用自定义擦除恶意软件和勒索软件。此外，报告还研究了该组织的说服机制，例如通过社交网络和新闻媒体放大消息传递，分享被盗数据以获取知名度和倡导变革，以及持续威胁发动后续攻击，以诱导其目标保持永久警惕状态。

其他有趣的发现

研究人员在东非的一个系统上发现了一个新的模块化恶意软件框架，并将其命名为“Aniseed Vodka”：该系统于2018年被感染。该框架由一个主模块、一个json格式的配置文件和一组插件组成，具有高度可配置特性，允许其操作员指定插件的操作参数，并按照特定的时间间隔安排插件任务（如屏幕捕获、网络摄像头捕获和数据渗漏）。该框架采用反检测和反取证技术，使其能够隐蔽地运行。它使用非传统的通信渠道来逃避网络检测，使用Google Chat作为C2通道，Gmail发送警报，Google Drive作为渗漏通道。据调查所知，报告中提出的框架尚未公开，因此暂时无法将该框架与现有的威胁行为者联系起来。

卡巴斯基之前发布的关于DinodasRAT的报告显示了Linux后门版本和Windows对应版本在特性上的大量重叠，以及额外的Linux特定功能，如通过systemd或SystemV实现持久性。最近几个月，研究人员收集了更多相关的样本，使其对Linux变体有了更深入的了解。有迹象表明，它已被用于可追溯到2021年的恶意活动。ESET披露了一项名为“Jacana行动”的APT活动，该活动之前被确定为XDealer，正在使用该威胁的Windows版本进行攻击。DinodasRAT也被用于最近的APT活动，包括Windows和Linux版本。在关于DinodasRAT Linux变种的最新报告中，除了建立持久性和等待C2命令之外，研究人员还关注了与C2的网络通信以及恶意软件在受感染机器上执行的操作。

2024年5月，研究人员发现了一个针对俄罗斯政府实体的新APT。CloudSorcerer恶意软件是一种复杂的网络间谍工具，用于通过微软、Yandex和Dropbox的云基础设施进行隐形监控、数据收集和泄露。该恶意软件为其C2服务器使用云资源，通过使用身份验证令牌的API访问它们。此外，CloudSorcerer使用GitHub作为其初始C2服务器。CloudSorcerer的操作方式很容易让人想起2023年报道过的CloudWizard APT。然而，该恶意软件代码是完全不同的，因此，研究人员认为CloudSorcerer是一种新的威胁行为者，只是采用了与公共云服务交互的类似方法。

今年4月，研究人员发现了一个前所未知的活动，利用Telemos后门针对俄罗斯的组织（包括政府部门）进行攻击。该恶意软件通过鱼叉式网络钓鱼电子邮件作为ZIP文件发送，其中涉及两种类型的滴管——具有.SCR扩展名的PE64可执行文件或具有.WSF扩展名的Windows脚本文件。这些脚本会删除并执行带有后门功能的基于powershell的脚本。这种威胁的主要目的是间谍活动——从浏览器收集数据，如登录凭据、cookie和浏览历史，以及从受影响系统上的可用驱动器收集感兴趣的文件。目前还无法将此行动与已知的威胁行为者联系起来。

结语

虽然一些威胁参与者的TTP保持不变——例如严重依赖社会工程来进入目标组织或破坏个人设备——但其他威胁参与者已经更新了他们的工具集并扩大了他们的活动范围。卡巴斯基的定期季度报告旨在突出与APT组织相关的关键发展趋势。

以下是2024年第二季度体现的主要趋势：

• 本季度的主要亮点是将XZ压缩实用程序集成到许多流行的Linux发行版中，特别是使用社会工程来获得对开发环境的持久访问。
• 本季度，我们看到APT活动集中在欧洲、美洲、亚洲、中东和非洲，目标是政府、军事、电信和司法系统等一系列部门。
• 大多数APT活动的目的是网络间谍活动，尽管有些活动是由经济利益驱动的。
• 黑客主义攻击也是本季度威胁形势的一个特点。并非所有这些攻击都集中在公开冲突地区，正如Homeland Justice组织对阿尔巴尼亚境内实体的攻击所表明的那样。

需要明确的是，卡巴斯基的报告是其对威胁形势洞察的产物。然而，重要的是要记住，尽管研究人员努力不断改进，但总有可能存在其他被忽视的复杂攻击。

免责声明：当提及俄语、中文或其他语言的APT组织时，我们指的是这些组织使用的各种工件（如恶意软件调试字符串、脚本中发现的注释等）包含这些语言的单词。特定语言的使用并不一定表明特定的地理关系，而是指出这些APT工件背后的开发人员使用的语言。

原文链接：

https://securelist.com/apt-trends-report-q2-2024/113275/