2020 年度安全人员跟踪 900 多个高级威胁活动, 可在季度报告中找到详细信息. 本文将集中讨论过去 12 个月中 APT 攻击的特点.
Windows 之外
Windows 仍然是 APT 的主要关注点, 但今年也观察到了许多非 Windows 的共计活动. 例如, Lazarus 的 MATA 恶意软件框架. 4 月发现 MATA 扩展到 Windows 和 Linux 以外的系统, 包括 macOS.Lazarus 利用宏嵌入的 Office 文档并根据受害者的系统传播 PowerShell 或 macOS 恶意软件.
安全人员发布了 Penquin 家族分析报告, 并在 5 月发表有关 Penquin_x64 的技术分析. Penquin_x64 是 Turla 的 Penquin GNU/Linux 后门变体, 分析指出 Turla 可能会利用 Penquin 进行除传统情报以外的其他操作.
在 2020 年第三季度 APT 趋势报告中描述了 TunnelSnake 攻击活动. 攻击者利用了开源工具 Earthworm 和 Termite, 生成远程 shell 并在主机之间建立隧道通信. 这些工具能够在 IoT 设备等多种体系结构上运行, 表明攻击者已经将此类设备作为新的目标.
UEFI 固件感染
在针对某次攻击的调查中发现了一个 UEFI 固件映像, 固件模块是基于 Vector EDK 的 bootkit, 植入的恶意软件是下载器. 通过分析提取恶意软件特征, 发现了一系列类似的样本, 这些样本自 2017 年以来一直被用于外交组织, 它们的业务逻辑大部分是相同的, 但一些附加功能或在实现上有所不同.
手机恶意攻击
今年发现许多针对移动平台的 APT 组织. 今年 1 月, 发现了一个利用了完整远程 iOS 攻击链的水坑. 该网站针对香港用户设计. 目前使用的都是已知漏洞, 攻击者正在改进漏洞利用工具, 以针对更多的 iOS 版本和设备. 它还支持 Android,Windows,Linux 和 macOS 等平台.
今年 8 月, 研究人员发表了关于透明部落的第二份分析报告. 其中包括该组织用来攻击渗透安卓设备的恶意软件. 恶意程序伪装成印度政府开发的 Aarogya Setu COVID-19 跟踪应用程序, 主要针对印度的军事人员, 通过 WhatsApp, 短信, 电子邮件或社交媒体发送恶意链接进行传播.
今年 6 月, 观察到一组新的恶意安卓下载程序, 这些下载器从 2019 年 12 月起就已经出现在网络中, 主要针对巴基斯坦. 美国 NTISB 在 1 月份的一份报告中分析了恶意软件共享相同的 C2s, 目标是巴基斯坦军方机构, 攻击者利用 WhatsApp 信息, 短信, 电子邮件和社交媒体作为最初的传播媒介.
官方点名
5 月, 英国国家网络安全中心 (NCSC) 和美国国土安全部 (DHS) 发布联合警告, 两国都在调查针对制药公司, 医学研究组织和制药公司的网络攻击事件.
7 月 30 日, 欧洲理事会对六名个人和三个实体实施制裁, 这些个人和实体参与了多个网络攻击活动, 制裁包括禁令旅行和资产冻结, 禁止欧盟个人和实体向所列人员提供资金.
9 月, 美国司法部发布了三份黑客起诉书, 这些黑客与 APT41 和其他网络攻击活动有关, 包括 Barium, Winnti, Wicked Panda,Wicked Spider. 美国司法部与马来西亚政府合作之后, 两名马来西亚国民于 9 月 14 日被捕, 罪名是 "非法计算机入侵". 根据起诉书中的信息可将这些入侵行为与 ShadowPad 和 ShadowHammer 联系起来.
10 月, 美国司法部起诉六名俄罗斯军官进行了多次网络攻击, 其中包括 NotPetya,2018 年奥林匹克驱逐舰袭击事件以及 Novichok 中毒事件. 英国 NCSC 还指控俄罗斯的 GRU 军事情报部门对东京奥运会的官员进行攻击.
"刚刚好" 就够了
APT 攻击并不总是需要复杂技术, DeathStalker 说明了这一点. DeathStalker 目标主要集中在律师事务所和金融行业, 它收集敏感的商业信息, 提供黑客服务, 或在金融界充当信息经纪人.
本季度, 发现了该组织基于 LNK 的入侵线索. 该组织一直在开发其工具包, 采用自 2018 年以来相同的策略, 同时加大了逃避检测的力度.
2020 年 6 月底发现 DeathStalker 的有趣变化. 例如, 恶意软件使用嵌入的 IP 地址或域名直接连接到 C2 服务器, 它使用至少两个 DDR 或 web 服务来获取真实的 C2 IP 地址或域. 攻击者并不仅仅局限于发送鱼叉式网络钓鱼邮件, 而是通过多封电子邮件积极与受害者接触, 说服他们打开诱饵. 此外, 攻击者在入侵中使用基于 Python 的恶意工具, 这是第一次发现攻击者放弃 PE 二进制文件作为中间阶段来加载 evillum. 还发现了该组织自 2020 年第二季度以来使用的复杂度较低的恶意软件, 它依赖于 HTTPS 上的 DNS(DoH)作为 C2 通道. 2020 年 10 月, 发现并分析了该组织的 PowerPepper 工具集的新样本, 包括改进的沙盒检测技术.
COVID-19
在 COVID-19 大流行之后, 许多国家采取封锁措施, 攻击者不断地利用人们对这种疾病的恐惧发起网络攻击活动. 大多数与 COVID-19 相关的网络钓鱼都是网络犯罪分子为赚钱发起的. 但是, 据 OSINT(开源情报)称, 攻击者名单中包括拉扎鲁斯 (Lazarus), 响尾蛇(Sidewinder), 透明部落(Transparent Tribe), 第 21 组(GroupA21) 等. 研究人员还发现 Kimsuky,APT27,IronHusky 和 ViciousPanda 也在使用 COVID-19 为主题的诱饵来攻击受害者.
在 WellMess 报告之后, 英国国家网络安全中心 (NCSC) 与加拿大和美国政府发布了一份关于 WellMess 最新活动报告. 这三个国家政府把针对 COVID-19 疫苗研究的恶意软件归咎于 Dukes(又称 APT29 和 Cozy Bear).
来源: http://netsecurity.51cto.com/art/202012/638268.htm