2019年APT回顾与思考
2019-12-19 14:00:14 Author: www.freebuf.com(查看原文) 阅读量:172 收藏

在这一年里,APT进行了哪些活动?我们可以从中学到什么?

这不是一个容易回答的问题,因为研究人员对APT攻击活动只有部分的可见性,不可能完全理解某些攻击的动机。不过从不同的角度来探讨这个问题,可以更好的理解发生了什么,从中获得更多的经验。

供应链攻击

近年来,针对供应链的攻击已经被证明是非常成功的,例子包括ShadowPad、expertr和CCleaner的后门。

今年1月发现了一个复杂的供应链攻击,涉及一个硬件供应商,攻击者向供应商的笔记本电脑和台式机提供BIOS、UEFI和软件更新。攻击者向供应商的程序添加了一个后门,通过官方渠道将其分发给用户。攻击者将目标MAC地址列表硬编码到木马中,从攻击中发现超过200个样本中提取超过600个唯一的MAC地址,具体分析报告:ShadowHammer

泄密事件

第三季度针对伊朗活动的APT泄密事件。

今年3月,有人通过Dookhtegan或Labúu Dookhtegan开始使用标签apt34在Twitter上发布消息。他们分享了几个文件,其中包括几名黑客受害者的登录名和密码、工具、基础设施的详细信息、攻击者的简历和一份2014-2018年期间网络工具清单。

4月22日,名为Bl4ck_B0X创建了GreenLeakers频道。该频道的目的是发布有关MuddyWater APT组成员信息。除了免费信息,Bl4ck_B0X也将出售与MuddyWater有关的“高度机密”信息。4月27日,GreenLeakers Telegram频道发布了三张截图,其中包含来自MuddyWater C2服务器的截图。5月1日,该频道对公众关闭,改为私人频道,关闭的原因仍然不清楚。

最后,一个名为“隐藏现实”的网站公布了与伊朗拉纳研究所有关的泄密信息。这是两个月来第三次披露伊朗组织的细节。这次泄密与其他泄密不同,它允许任何人浏览泄密文件的网站。网站包含内部文档、聊天信息和其他与拉纳研究所的CNO(计算机网络操作)能力相关的数据,以及有关受害者的信息。以前的泄漏更多地集中在工具、源代码和参与者信息上。

Shadow Brokers

Shadow Brokers中包括一个Python脚本sigs.py,其中许多函数来检查系统是否已经被其他攻击者破坏。每个检查都是在系统中查找唯一签名实现的,sigs.py列出了44个条目,其中许多与尚未公开的未知apt相关。

2019年sigs.py文件的第27个函数,被命名为DarkUniverse,DarkUniverse与ItaDuke活动有关,存在代码重叠。主要组件是一个简单的DLL,只有一个导出函数,实现持久控制、与C2的通信以及对其他模块的控制。在西亚和非洲东北部发现了大约20名受害者,包括医疗机构、原子能机构、军事组织和电信公司。

手机攻击

移动手机攻击是许多APT工具集的标准部分。

今年5月,英国《金融时报》报道称,黑客利用WhatsApp的零日漏洞窃听用户,读取加密的聊天,打开麦克风和摄像头,安装间谍软件,甚至可以进行进一步的监控。WhatsApp触发缓冲区溢出,使攻击者能够控制应用程序并执行任意代码,WhatsApp很快就发布了漏洞补丁。10月份,该公司提起诉讼,指控总部位于以色列的NSO挖掘利用了这一漏洞。WhatsApp声称,NSO出售的这项技术用于瞄准20个不同国家1400多名客户的手机,其中包括人权活动家、记者和其他人。

今年7月,报告介绍了2018年开发的针对Android和iOS的FinSpy最新版本。FinSpy的开发者将该软件出售给世界各地的政府和执法机构,这些机构使用该软件在各种平台上收集私人用户信息,如联系人、信息、电子邮件、日历、GPS位置、照片、内存中的文件、电话录音和数据。Android植入需要通过已知漏洞获得root权限,在设备尚未越狱的情况下,需要对受害者的设备进行物理访问。最新版本包含了多个新功能。在最近的研究中,在近20个国家的中检测到了最新版本,真正的受害者人数可能要高得多。

今年8月,谷歌Project Zero团队发布了一份在野发现的至少14个iOS 零日分析报告,攻击者在5个攻击链中使用以提升权限。攻击者自三年前使用了一些被控网站来作为攻击平台。虽然没有关于网站的详细信息,也没有说明这些网站是否仍然活跃,但谷歌称这些网站“每周有数千名访客”。

今年9月,零日经纪公司Zerodium表示,Android的零日价值已超过iOS,该公司愿意花250万美元购买Android的零日,该公司此前为远程iOS越狱支付200万美元。相比之下,Zerodium还减少了苹果一键式攻击的支出。同一天,有人在v412(Video4Linux)驱动程序中发现了一个高严重性的零日。谷歌9月份的安全更新中没有包含此漏洞,该漏洞可能会导致权限提升。几天后,安卓系统的一个缺陷被发现,使得超过10亿的三星、华为、LG和索尼智能手机容易受到攻击,攻击者能够使用短信完全访问设备上的电子邮件。

工具持续改良

Turla

在调查中亚地区的恶意活动时发现了一个名为Tunnus新的后门,其归属于Turla组织。它基于.NET的恶意软件,能够在受感染的系统上运行命令或文件操作,并将结果发送到C2。到目前为止,攻击者已用有漏洞的WordPress安装构建了其C2基础设施。

今年,Turla还将其JavaScript KopiLuwak恶意软件封装在一个名为Topinambour的dropper中,Topinambour是一个新的.NET文件,攻击者使用该文件通过受感染的vpn等合法软件程序的安装包传播和植入KopiLuwak。该恶意软件几乎完全“无文件”:感染的最后阶段,一个用于远程管理的加密木马被嵌入到计算机的注册表中,以便后期访问。该组织使用两种类似的KopiLuwak(即.NET RocketMan木马和PowerShell MiamiBeach木马)进行网络间谍活动。

此外还发现一个新的COMpfun恶意软件。攻击者在将原始COMpfun用作下载程序,根据一些样本中留下的a.pdb路径命名它为Reductor。攻击者花费了大量精力来操作Reducer中的数字根证书,并使用唯一的主机相关标识符标记出站TLS通信。该恶意软件将嵌入的根证书添加到目标主机,并允许攻击者通过管道远程添加其他证书。

Zebrocy

Zebrocy继续使用各种编程语言向其库中添加新工具。Zebrocy在东南亚一个外交组织内部署了一个编译好的PythocyDbg脚本。该模块主要提供网络代理和通信调试功能进行情报秘密收集。2019年初,Zebrocy使用Nimrod/Nim(一种语法类似于Pascal和Python的编程语言,可以编译成JavaScript或C)。今年9月,Zebrocy spear在欧洲各地对北约等多个目标进行网络钓鱼,试图获取电子邮件通信、凭据和敏感文件。与Zebrocy以往的活动类似,在电子邮件中使用与目标相关的内容,并压缩包含无害文档附件,以及带有相同文件名的可执行文件。该组还利用Word模板从合法的Dropbox文件共享站点中获取文件。

Platinum

今年6月发现了一组不寻常的样本,其主要针对南亚和东南亚国家的外交、政府和军事组织,最终将其归属于Platinum,Platinum是技术最先进的APT之一。在这次行动中,攻击者使用了精心设计的隐写技术来隐藏通信。今年晚些时候,在一次网络攻击活动中,发现了Platinum组织使用的新的后门Titanium,这个恶意软件和ProjectC的工具集有相似之处,在2016年检测到ProjectC被用作横向移动的工具集。

Lazarus

在2018年AppleJeus报告的主要发现是Lazarus组织瞄准Mac OS系统。从那时起Lazarus扩大了他们的业务范围。今年又发现了新的活动,以苹果的客户为目标利用PowerShell来控制Windows系统和Mac OS恶意软件。Lazarus还瞄准了韩国的一家移动游戏公司,其目的是窃取应用程序源代码。Lazarus一直在快速更新它的工具。

AndarielLazarus的一个子组织,专注于韩国的地缘政治和金融情报。攻击者利用存在漏洞的Weblogic服务器构建C2,在样本使用的是CVE-2017-10271。成功突破后,攻击者植入有韩国安全软件供应商合法签名的恶意软件。这个恶意软件是一个后门,叫做ApolloZeus。这个后门使用了一个相对较大的外壳代码,使分析变得困难。此外还找到了几个相关的样本,以及攻击者用来传播它的文档。

BlueNoroff

在第三季度跟踪了BlueNoroff的新活动,确认了受害者是缅甸的一家银行。研究人员立即与银行联系,分享已经发现的IOC,并获得攻击者横向移动工具。攻击者使用公共登录凭据转储程序和自制的PowerShell脚本进行横向移动。BlueNoroff还使用了一种新结构恶意软件,可以减慢分析速度。根据命令行参数的不同,此恶意软件可以作为后门或隧道。此外还发现了另一种类型的PowerShell脚本,其主要目标为土耳其,这个PowerShell脚本的功能与之前使用的类似,但BlueNoroff不断地更改它以逃避检测。

DarkHotel 

今年10月偶然发现一个样本,使用的诱饵文件和图片中包含朝鲜海外居民的联系名单,所有的诱饵都包含朝鲜半岛国庆节和朝鲜国庆节的内容,内容还涉及外交问题和商业关系。攻击者利用鱼叉钓鱼和多阶段感染,植入量身定制的恶意软件。研究发现该攻击活动归属于DarkHotel APT组织。

Lamberts

Lamberts是一个或多个攻击者使用的复杂攻击工具家族。武器库包括网络驱动后门、模块化后门、破坏性攻击等。Silver Lambert是Gray Lambert的升级,它是一个成熟的后门,在中国的航空部门发现了他的踪迹。Violet Lambert是一款模块化后门,于2018年开发和部署,可在各种版本的Windows上运行,包括Windows XP,以及Vista和更高版本的Windows。还在中东一个重要基础设施的电脑上发现了其他新的Lamberts后门,这个恶意软件在网络上监听,等待一个ping命令,然后执行一个我们无法解密的负载,后门发现后不久,所有受感染的电脑都离线了。

LuckyMouse

今年早些时候监测到了由LuckyMouse发起的活动,该活动至少从2018年4月起就针对越南政府和海外外交。他们利用网络服务漏洞作为其主要的初始感染切入点,同时在网络钓鱼消息中使用的诱饵文件,显示了其灵活使用运营商。攻击者还将HTran-TCP代理源代码包含到恶意软件中,重定向流量。一些NetBot配置数据包含LAN ip,它从本地网络中另一个受感染的主机下载下一阶段程序。根据检测内部数据库服务器是目标之一。最后一步,攻击者使用32位和64位木马注入系统进程内存。

从2019年初开始,在中亚和中东LuckyMouse的活动都出现了高峰。攻击者目标集中在电信运营商,大学和政府,通过直接攻击、鱼叉式网络钓鱼,水坑攻击等手段。

HoneyMyte

HoneyMyte已经活跃了好几年了。在过去几年中,该组织采用了不同的技术实施攻击,目标是缅甸、蒙古、埃塞俄比亚、越南和孟加拉国的政府,以及位于巴基斯坦、韩国、美国、英国、比利时、尼泊尔、澳大利亚和新加坡外国大使馆。今年,该组织的目标是缅甸与自然资源管理有关的政府组织和一个非洲大陆组织,其主要动机之一是收集地缘政治和经济情报。

Icefog

自2011年以来Icefog目标一直是主要位于韩国、日本和中亚的政府机构、军事承包商、海事和造船组织、电信运营商、卫星运营商、工业和高科技公司以及大众媒体。2013年该组织的行动速度放缓,2016略有增加,从2018年初开始Icefog开始对中亚政府机构和军事承包商进行大规模攻击。在最新一波的攻击中,感染源于一封包含恶意文档的钓鱼邮件,该邮件利用已知漏洞攻击并最终部署有效负载。

从2018年到2019年初,有效载荷是典型的Icefog后门。自2019年5月以来,攻击者把Poison Ivy作为他们的主要后门。Poison Ivy利用“load order hijacking”技术加载恶意DLL,这项技术非常普遍,在以前的Icefog攻击活动中也使用过。另外还检测到使用从GitHub下载的TCP扫描器、Mimikatz变体、键盘记录器以及Quarian的后门。Quarian后门用于在受害者基础设施内创建隧道,以避免网络检测,其功能包括操作远程文件系统、获取有关受害者的信息、窃取保存的密码、下载或上载任意文件、使用端口转发创建隧道、执行任意命令和启动反向shell。

“新来者”的演变

ShaggyPather

在2018年1月的一份报告中讨论了ShaggyPather,这是一个以前未被发现的针对台湾和马来西亚的恶意软件。相关的活动可以追溯到十多年前,类似的代码编译时间为2004年。最近一次活动是在7月份印度尼西亚,以及在3月份叙利亚。较新的2018年和2019年后门代码添加了新的混淆,不再保持明文C2字符串。其使用的外壳SinoChopper不仅执行主机识别和后门传递,还执行电子邮件窃取和其他活动。

TajMahal

今年4月,研究人员发布了关于TajMahal的报告,TajMahal是一个未发现的APT框架,在过去五年中一直处于活跃状态。它是一个高度复杂的间谍软件框架,包括后门、加载程序、C2通信程序、录音机、键盘记录器、屏幕和网络摄像头抓取程序、文档和密码密钥窃取程序和文件索引器,其加密文件系统中发现了多达80个恶意模块,这是APT工具集中见过的数量最多之一。该恶意软件有两个不同的软件包,自称Tokyo和Yokohama,攻击者利用Tokyo作为第一阶段感染,在目标受害者身上部署功能齐全的Yokohama。检测显示只有一个受害者,来自中亚国家的外交机构,研究人员认为可能还有其他的受害者还没有找到。

FrutiyArmor和SandCat

今年2月检测到有人试图利用Windows中的漏洞进行攻击,进一步的分析发现win32k.sys中存在一个零日漏洞,FruityArmor和SandCat利用了这一漏洞。FrutiyArmor和SandCat攻击活动各不相同,两者同时使用相同的漏洞,似乎表明存在第三方为他们提供漏洞。

未明确攻击者

2019年2月发现俄罗斯南部发生了一次目标明确的攻击,其使用名为Cloudmid的未知恶意软件。这个间谍程序通过电子邮件传播,伪装成俄罗斯一家知名安全公司的VPN客户端。到目前为止还无法将此活动与任何已知攻击者联系起来。恶意软件本身是一个简单的文件偷取程序。

今年2月发现了一场针对印度军事组织的行动,但无法将其归属于任何已知的攻击者。攻击者依靠水坑和鱼叉钓鱼来感染受害者。他们能够破坏陆战研究中心(CLAWS)的网站,利用该网站托管一份恶意文件来分发Netwire RAT。

DADJOKE

在第三季度发现了DADJOKE的恶意软件活动。该恶意软件于2019年1月首次在野使用,随后不断发展。自今年1月以来只在少数活动中见过这种恶意软件,这些活动的目标都是东南亚地区的政府、军事和外交。最近的一次是在8月份,针对某个军事组织的工作人员。

隐私问题

1月17日,安全研究员Troy Hunt报告称,有超过7.73亿封电子邮件和2100万条密码记录泄露。这些数据被称为Collection#1,最初是在云服务MEGA上共享的。Collection#1只是约1tb数据泄漏的一小部分,总数据分成7部分,通过数据交易论坛分发。Collection#1只是大量泄露凭证的一部分,其中包括22亿个被盗账户记录。

2月份又发生了数据泄露事件。黑客从16家公司盗取的6.17亿个账户详细信息在DreamMarket出售。黑客攻击的公司包括Dubsmash、MyFitnessPal、Armor Games和CoffeeMeetsBagel。随后,又有8家公司的数据被发布到同一个市场。在3月份黑客又发布了另外6家公司的被盗数据。

新闻中关于电子邮件地址和密码泄露的源源不断的报道,这种“传统”认证形式的失窃会导致严重的后果,但其他认证方法的泄密影响可能会更严重。今年8月,两名以色列研究人员在一个可公开访问的数据库中发现了Suprema Biostar 2生物控制系统的指纹、面部识别数据和其他个人信息。生物测数据的泄露尤其令人关注。泄露的密码可以更改,但生物特征是终身的。

智能设备在我生活新领域中的广泛使用为攻击者提供了一个更大的数据池。例如智能扬声器在家里可监听谈话的影响。社交媒体巨头正拥有越来越多的个人信息,这些信息对犯罪分子和APT组织都是非常有价值的。

*参考来源:securelist,由Kriston编译,转载请注明来自FreeBuf.COM


文章来源: https://www.freebuf.com/articles/network/222059.html
如有侵权请联系:admin#unsafe.sh