概述
近两年来,卡巴斯基的全球研究与分析团队(GReAT)一直在发布关于高级持续性威胁(APT)活动的季度报告。该报告主要基于我们的威胁情报研究,提供了我们内部APT报告的代表性结论,并将我们认为大家应该关注的重大事件和发现公之于众。
这是我们最新的一期报告,重点介绍我们在2019年第二季度观察到的高级持续性威胁活动。
主要发现
4月,我们发布了关于TajMahal的报告,这是一个此前从未见过的APT框架,在过去五年之中一直活跃。具体而言,TajMahal是一个高度复杂的间谍软件框架,包括后门、加载工具、协调工具、C2通信工具、音频录制工具、键盘记录工具、屏幕截取工具和网络摄像头录制工具。我们发现,其加密的虚拟文件系统中存储了多达80个恶意模块,我们此前从没有在APT工具集中见到过如此之多的插件。该恶意软件具有自己的索引工具和紧急C2,能够在外部存储盘再次可用时窃取特定文件,此外还有一系列功能。在我们调查的计算机上,发现该框架使用了两个不同的包,分别称为“Tokyo”(东京)和“Yokohama”(横滨)。我们认为,攻击者使用Tokyo进行第一阶段感染,并在成功感染的受害者主机上部署功能齐全的Yokohama一系列恶意工具,同时将Tokyo作为一个备份。到目前为止,根据我们的远程监测,仅仅发现了一个受害者,是一个来自中亚某国家的外交机构。这就引出了一个问题,为什么如此复杂的攻击仅仅针对一个目标?我们认为,可能还有其他受害者尚未发现。有一个证据可以支撑这个说法,我们目前还暂时没有发现恶意软件是如何使用VFS中的一个文件,因此可能说明目前仍有尚未检测到的其他版本的恶意软件。
5月14日,据英国《金融时报》报道,WhatsApp出现0-day漏洞利用,允许攻击者对用户进行窃听、阅读用户的加密聊天内容、打开麦克风和摄像头、安装间谍软件,甚至允许攻击者进一步对用户进行监控,例如浏览用户的照片和视频、访问用户的联系人列表等。要利用此漏洞,攻击者只需要通过WhatsApp呼叫受害者,有一个特定的调用可以在WhatsApp中触发缓冲区溢出,允许攻击者控制应用程序,并在其中执行任意代码。显然,攻击者使用这种方式不仅仅能监控人们的聊天和呼叫,还可以利用操作系统上从前未知的漏洞在设备上安装应用程序。该漏洞影响WhatsApp for Android 2.19.134及以前版本、WhatsApp for iOS 2.19.51及以前版本、WhatsApp Business for iOS 2.19.51及以前版本、WhatsApp for Windows Phone 2.18.348及以前版本、WhatsApp for Tizen 2.18.15及以前版本,WhatsApp在5月13日发布了该漏洞的补丁。一些研究表明,利用该漏洞的间谍软件可能是由以色列NSO公司开发的Pegasus。
使用俄语的恶意活动
我们持续跟踪了使用俄语的一些APT组织的恶意活动。通常来说,这些恶意组织会对政治活动特别感兴趣,但除了几个值得关注的之外,我们在上一季度没有发现任何具有显著特征的例子。
在分析过程中,我们发现了Hades与RANA研究所之间的潜在联系。Hades可能与Sofacy威胁组织有关,最值得注意的是Olympic Destroyer、ExPetr和几个包含虚假信息的恶意活动,例如Macron漏洞。今年早些时候,一个名为Hidden Reality的网站发表了一篇揭秘文章,表明该组织涉嫌与名为RANA研究所的伊朗实体相关。这是该网站在两个月内第三次披露与伊朗攻击者和恶意组织相关的细节。在对样本、基础设施和揭秘内容进行分析之后,我们认为,揭秘的这部分内容可能与Hades有关。这可能是一场包含虚假信息的恶意活动中的一部分,Hades针对今年早些时间其他案件中泄露信息的质量提出了质疑。
Zebrocy继续使用各种编程语言为其武器库添加新工具。我们发现,Zebrocy在一个东南亚外交组织中,部署了一个编译过的Python脚本,我们称之为PythocyDbg——该模块主要提供网络代理和通信调试功能。在2019年初,Zebrocy通过使用Nimrod/Nim改变了其开发模式,Nimrod/Nim是一种编程语言,其语法类似于Pascal和Python,可以编译为JavaScript或C语言的目标程序。该恶意组织主要将Nim下载工具用作钓鱼,此外也有一些其他Nim后门代码在与Go语言和Delphi语言编写而成的模块一起提供。这一系列新型Nimcy下载工具和后门主要针对外交官员、国防官员、外交部工作人员发动攻击,主要希望窃取他们的登录凭据、键盘输入、通信以及各类文件。该恶意组织似乎已经将注意力转向巴基斯坦和印度,针对三月事件相关或无关的外交及军事官员。与此同时,该恶意组织还始终保持着对中亚地区政府本地和远程网络的访问。
近期,我们还观察到了一些与Turla相关的新迹象,它们具有不同程度的置信度。
在2019年4月,我们观察到有攻击者使用新型恶意软件攻击与COMpfun恶意软件的目标相近的目标。Kaspersky Attribution Engine发现新型恶意软件的代码与旧版本COMpfun之间具有较强的相似性。除此之外,原始的COMpfun在其中一个传播机制中被用作下载工具。根据一些样本的.pdb路径,我们将新识别的模块称为Reductor。我们认为,新型恶意软件是由与COMPfun相同的作者开发的。根据受害者,我们认为该恶意软件暂时与Turla APT具有一定关联。除了典型的RAT功能(上传、下载、执行文件)之外,Reductor的作者还投入大量精力来操纵已安装的数字根证书,并使用独特的主机相关标识符来标记出站TLS流量。恶意软件将嵌入的根证书添加到目标主机中,并允许恶意运营者通过命名远程管道来添加其他证书。Reductor的开发人员使用了非常巧妙的方式标记TLS流量,他们完全没有去研究网络数据包,相反的是,他们对Firefox和Chrome的二进制代码进行分析,以修补进程内存中相应的系统伪随机数生成(PRNG)函数。浏览器使用PRNG函数,在TLS握手一开始时就生成“客户端随机”(Client Random)序列。Reductor将受害者独有的标识符(基于当前使用的硬件和软件计算而成)添加到这个“客户端随机”的字段之中。
除此之外,我们发现了一个新的后门,我们确认该后门与Turla相关。该后门名为Tunnus,是基于.NET的恶意软件,能够在受感染的系统上运行命令或执行文件操作,并将结果发送到C2。到目前为止,C2基础架构是使用带有漏洞的WordPress构建的。根据我们的远程监测,Tunnus的恶意活动从去年3月开始,在撰写本文时仍然活跃。
ESET还公开了Turla使用PowerShell脚本来实现直接的内存加载和恶意软件执行。这并非是威胁攻击者第一次以这种方式使用PowerShell,但该团队已经改进了这些脚本,现在正在使用它们从恶意组织的传统武器库中加载各种自定义的恶意软件。通过PowerShell脚本(RPC后门和PowerStallion)提供的Payload是经过高度定制化的。
在过去的一年半中,Symantec一直在追踪针对全球各地政府和国际组织的一系列恶意活动。这些攻击的特点是攻击者使用了一个快速发展的工具集。分析人员发现,在其中一个值得关注的恶意活动中,攻击者成功劫持了属于OilRig的基础设施。进一步,分析人员发现了Waterbug APT组织(又称为Turla、Snake、Uroburos、Venomous Bear和KRYPTON)对属于OilRig(又称为Crambus)的攻击平台进行恶意接管的证据。Symantec的研究人员怀疑Turla使用被劫持的网络攻击中东政府,然而其目标此前已经被OilRig成功攻击过。我们此前曾经发现过这样的恶意活动。显然,这样的情况使得我们追溯攻击者身份的过程变得更加复杂。
使用中文的恶意活动
我们发现了一个使用中文的APT恶意组织的频繁活动,我们将其称之为SixLittleMonkeys,它使用新版本的Microcin木马以及一个RAT(在HawkEye的最后一个阶段中使用)。该恶意活动主要针对中亚地区的政府机构。在建立持久性方面,恶意运营者根据搜索到的.DLL文件的先后顺序逐一进行劫持。攻击者使用了自定义的解密工具,将其名称伪装成一个系统库(例如:version.dll或api-ms-win-core-fibers-l1-1-1.dll),并使用合法应用程序将这些库加载到内存中。在另外一部分合法的应用程序中,威胁行为者使用Google更新程序GoogleCrashHandler.exe进行.DLL劫持。自定义的加密器能够保护下一阶段的恶意工具不会被检测或分析。在此过程中,恶意软件使用加密的TLS通信方式与C2进行通信,使用了Secure Channel(Schannel)Windows安全包。
ESET发现,在4月,Plead恶意软件背后的攻击者借助已经被攻陷的路由器,使用中间人攻击(MITM)的方式实现恶意软件的分发。研究人员已经在台湾发现了这种恶意活动,台湾地区是Plead最为活跃的地方之一。Trend Micro此前曾经发表过关于这一恶意软件的分析,他们发现该恶意软件在BlackTech组织针对特定目标发动的攻击之中曾经使用过,他们主要针对亚洲地区开展网络间谍活动。根据ESET的远程监控,发现了多次部署该恶意软件的尝试。
Palo Alto检测到的LuckyMouse恶意活动以中东地区的政府组织为目标,攻击者主要在SharePoint服务器上安装WebShell,可能还利用了CVE-2019-0604,这是一个用于攻击服务器并最终安装WebShell的远程代码执行漏洞。攻击者们上传了他们用于在受感染网络上执行其他恶意活动的工具,这些恶意活动例如转储凭据、定位并横向移动到网络上的其他主机。特别值得注意的是,该恶意组织使用工具来识别存在CVE-2017-0144漏洞的系统,这个漏洞由EternalBlue利用,并被广泛用于2017年的WannaCry攻击之中。该活动似乎与沙特阿拉伯网络安全中心和加拿大网络安全中心近期提到的与CVE-2019-0604漏洞利用相关的恶意活动有关。
去年,据称与某亚洲国家政府有关联的几名黑客在美国被起诉。今年五月,美国司法部起诉一名亚洲公民,称其进行了一系列计算机入侵,包括在2015年泄露健康保险公司Anthem的数据,该数据影响到超过7800万人的个人隐私。
与中东地区相关的恶意活动
在过去三个月之中,该地区的恶意活动非常值得关注,特别是与伊朗相关的活动在短短几周之内被接连揭秘。更值得关注的是,其中一个漏洞可能是在Sofacy/Hades恶意组织的帮助下开展的虚假信息发布恶意活动中的一部分。
今年3月,有攻击者通过帐号Dookhtegan和Lab_dookhtegan,使用标签#apt34在Twitter上发布消息。攻击者通过Telegram分享了几个文件,据称这些文件属于OilRig威胁组织。其中包含一系列与受害者相关的登录帐号和密码、工具、与不同入侵活动相关的基础设施细节、被指与攻击相关联的攻击者资料、WebShell清单,而上述信息都是与2014至2018年期间的恶意活动相关的。
4月22日,Bl4ck_B0X创建了一个名为GreenLeakers的Telegram频道。正如创建者描述的那样,该频道用于免费发布与MuddyWater APT组织相关的信息。除此之外,Bl4ck_B0X还暗示一些与MuddyWater相关的“高度机密”信息将会被出售。
4月27日,在GreenLeakers Telegram频道中发布了三张截图,其中包含来自MuddyWater C2服务器的屏幕截图。5月1日,该频道不再对公众开放,其状态变为私人。这一调整发生在Bl4ck_B0X有机会发布与MuddyWater相关的承诺信息之前,其关闭的原因尚不清楚。
最后,一个名为Hidden Reality的网站发布了疑似与伊朗RANA研究所这一实体相关的揭秘,这是两个月内发生的第三起泄密事件,披露了伊朗攻击者和恶意组织的细节。
值得关注的是,这一次揭秘使用了允许任何人浏览的网站,与此前发生的揭秘事件不同。幕后主使还依赖于Telegram和Twitter个人资料,发布与伊朗CNO能力相关的消息。Hidden Reality网站披露了RANA机构计算机网络运营相关的内部文档、聊天记录和其他数据,以及有关受害者的信息。此前,揭秘的信息更多会集中在工具、源代码和配置文件上。
我们对泄密者使用的样本、基础设施和专用网站进行仔细分析,找到了一些线索,我们相信Sofacy/Hades可能与这些泄露事件有关。
此外,还有其他一些与泄露不相关的MuddyWater活动,并且发现了该组织之前的一些活动。例如,ClearSky发现了两个被MuddyWater在2018年底攻击的域名,用于托管其POWERSTATS恶意软件的代码。
4月,Cisco Talos发布了与MuddyWater恶意活动相关的BlackWater恶意活动分析。该活动展示了攻击者如何采取三个不同的步骤来进行恶意运营操作,从而允许他们绕过某些安全控制来逃避检测,这三个步骤分别是:用于在注册表中创建持久性的混淆后VBA脚本、PowerShell Stager和FruityC2代理脚本、用于进一步枚举主机的GitHub开源框架。这可能允许攻击者监视Web日志,并确定恶意活动之外的某个人是否已经向其服务器发出请求以尝试调查该任意活动。在枚举命令运行之后,代理会与不同的C2进行通信,并在URL字段中发回数据。Trend Micro还称,MuddyWater使用了一个名为POWERSTATS v3的新型多阶段PowerShell后门。
我们发布了一份关于四个Android恶意软件系列及其使用的虚假标志技术的内部报告。在其中的一起恶意活动中,攻击者向约旦的一所大学和土耳其政府发送了鱼叉式网络钓鱼电子邮件,使用受感染的合法帐户诱骗受害者安装恶意软件。
关于其他恶意组织,我们发现了与ZooPark相关的新型活动,ZooPark是一个网络间谍威胁组织,主要窃取Android设备的数据。我们的新发现包括自2016年以来部署的新恶意样本和其他基础架构。这也导致我们发现由同一威胁行为者部署的Windows恶意软件植入。我们发现的其他指标揭示了恶意活动的目标,其中包括伊朗库尔德人,主要针对持不同政见者和政治活动家。
Recorded Future发布了针对APT33(又称为Elfin)创建的针对沙特组织基础设施的分析。继3月份Symantec发现大量基础设施和运营活动之后,Recorded Future的研究人员发现,APT33(或与之紧密相关的恶意组织)的攻击者正在停用或重新分配部分域名,这一系列活动在报告公开的1天左右之后进行,这表明伊朗的威胁行为者敏锐地观察到媒体对其恶意活动的报道,并且能够迅速作出反应。在此之后,攻击者持续使用大量的运营基础设施,其中包含超过1200个域名,许多研究团队观察到他们与19种不同的商业化RAT植入工具进行通信。值得关注的一点是,该恶意组织似乎对njRAT的偏好有所增加,超过一半的疑似APT33基础设施都部署了njRAT。
从更具政治性的层面上来看,有一些新闻报道与伊朗的恶意活动相关。
与伊朗革命卫队有关联的一个恶意组织近期被指责对英国国家基础设施发动了一系列的网络攻击,包括邮局、地方政府网络、私人公司和银行。数千名员工的个人数据被盗。有证据表明,该组织还参与了2017年对英国议会网络的攻击。英国NCSC(国家网络安全中心)正在向受影响的组织提供援助。
微软近期收到了美国法院的命令,要求接管伊朗黑客组织APT35(又称为Phosphorus and Charming Kitten)使用的99个网站。威胁组织使用与微软、雅虎高度相像的欺骗性网站,针对伊朗的企业、政府机构、记者和政治活动家进行网络攻击。随着这些恶意网站被接管,恶意组织将不得不继续重建其基础设施。
美国网络安全和基础设施安全局(CISA)报告称,伊朗攻击者发起的网络攻击事件有所增加,其目标是使用破坏性工具针对美国的工业和政府机构发起攻击。该声明由CISA的主任Chris Krebs在Twitter上发布。
与东南亚和朝鲜半岛相关的恶意活动
本季度,我们发现了很多与韩国相关的活动。然而,对于东南亚其他地区而言,本季度没有太多的恶意活动,特别是与此前相比较而言。
在第二季度初,我们发现了针对韩国移动游戏公司的一项Lazarus攻击,我们认为这一攻击的目的是窃取应用程序源代码。很明显,Lazarus不断更新其工具,与此同时,通常以金融机构为目标的Lazarus子集团BlueNoroff针对中亚地区银行和中国的加密货币业务发动攻击。
在最近的一次恶意活动中,我们观察到ScarCruft使用多阶段的二进制文件来感染几个受害者,并且最终安装一个名为ROKRAT的最终阶段Payload,这是一个基于云服务的后门。ScarCruft是以技术熟练的APT组织,此前针对朝鲜半岛发动攻击。我们发现,全球范围内的一些受害者是与朝鲜相关的公司和个人,以及一个外交机构。有趣的是,我们观察到ScarCruft持续在其工具中采用公开可用的漏洞利用代码。在俄罗斯,我们还发现一名受害者同时遭到了ScarCruft和DarkHotel的攻击,而这种情况并非第一次发生。
ESET近期分析了一个来自OceanLotus恶意组织的新型MacOS样本,该样本已经上传至VirusTotal上。这个后门与此前的MacOS版本共享其功能,但二者的结构已经改变,现在对其进行检测将会更加困难。研究人员无法找到与此样本相关的Dropper,因此他们无法识别最初的攻击维度。
美国国土安全部(DHS)报告称,朝鲜政府正在使用被称为HOPLIGHT的木马变种。该报告针对9个恶意可执行文件进行了分析,其中有7个属于代理应用程序,用于屏蔽恶意软件和远程运营者之间的流量。代理使用有效的gonggongSSL证书生成伪TLS握手会话,伪装与远程恶意行为者的网络连接。其中的一个文件包含公共SSL证书,文件的Payload似乎使用密码或密钥进行编码。其余文件不包含任何公共SSL证书,但会尝试出站连接并投放四个文件,其投放的文件主要包含IP地址和SSL证书。
6月,我们发现了一组值得关注的样本,瞄准南亚和东南亚国家的外交、政府和军事组织。我们认为,这是PLATINUM APT组织背后的威胁行为者精心设计的,此前使用无法被发现的隐写技术来隐藏通信。在几年前,我们曾预测过越来越多的APT和恶意软件开发者将会使用隐写术,这个恶意活动就是一个最好的例子——攻击者在这个APT中使用了两种不同的隐写技术。同样值得关注的是,攻击者决定将他们需要的实用程序作为一个庞大的集合来实现,基于框架的体系结构正在变得越来越流行。
其他值得关注的发现
5月14日,Microsoft针对远程桌面服务(以前称为终端服务)中的关键远程代码执行漏洞(CVE-2019-0708)发布了修复程序,该漏洞影响某些旧版本的Windows系统(包括Windows 7、Windows Server 2008 R2、Windows Server 2008)和一些不受支持的Windows版本(包括Windows 2003和Windows XP)。有关如何缓解此漏洞的详细信息,可以参考我们的内部报告“CVE-2019-0708的分析和检测指南”。远程桌面协议(RDP)本身不容易受到攻击。该漏洞是预身份验证漏洞,无需用户交互。换句话说,利用此漏洞的任何恶意软件,都可能会以类似于WannaCry传播的方式,从一台存在此漏洞的计算机传播到另一台存在此漏洞的计算机上。Microsoft没有观察到对此漏洞的利用,但认为恶意攻击者极有可能为其编写漏洞利用并用在实际攻击之中。
6月初,Malwarebytes Labs的研究人员在Amazon CloudFront(内容交付网络CDN)上观察到了许多实际攻击活动,其中托管的JavaScript库被篡改,并注入了网络分流器。尽管理论上,涉及CDN的攻击通常会通过其供应链立即影响大量网络资产,但事实中并非都是如此。有些网站使用Amazon的云基础架构来托管自己的库,或者连接到专门为他们开发并托管在自定义AWS S3 Bucket上的代码。如果没有正确验证外部加载的内容,这些网站会向用户暴露各种威胁,包括一些窃取信用卡数据的威胁。在分析了这些漏洞之后,研究人员发现,它们是Magecart威胁行为者开展的一项恶意活动,主要攻击目标是CDN。如今,CDN已经被广泛使用,主要因为它为网站所有者提供了巨大的好处,包括优化加载时间、减少成本、帮助进行各类数据分析等。这些被攻击的网站之间没有任何其他共同之处,唯一的共同点就是他们都是用自己的自定义CDN来加载各种库。实际上,CDN存储库被攻击的受害者,也就是他们自己。
据Dragos报道称,2017年TRISIS(又称为TRITON和HatMan)背后的APT组织XENOTIME已经将攻击目标扩展到石油和天然气行业之外。研究人员最近发现,该组织在美国和其他地方侦查电力公用事业组织相关的网络,可能会对造成物理损害或人身伤害的关键基础设施发动危险的攻击。Dragos在2018年年底首先注意到该恶意组织攻击目标的改变,并且该攻击持续到2019年。
我们最近报道了2018年中开发的最新版本FinSpy(包括Android和iOS)。该监控软件被销售给世界各地的政府和执法机构,他们使用该软件来收集各种平台上的各类用户信息。维基解密首次发现了2011年台式机设备的植入程序,2012年发现了移动设备的植入程序。从那时开始,卡巴斯基团队开始不断监测这种恶意软件的发展趋势及野外新版本的出现。适用于iOS和Android的移动植入程序基本具有相同的功能,能够收集个人信息,包括联系人、短信息、电子邮件、日历、GPS位置、照片、内存中的文件、电话录音和Messengers的数据。Android植入程序包含通过滥用已知漏洞,在未root设备上获取root权限的功能。似乎iOS的版本不包含漏洞利用模块,该产品似乎经过精心调整,可以清除公开可用的越狱工具。这可能意味着,在设备尚未越狱的情况下,需要对受害者的设备进行物理访问。最新版本中包含我们以前没有观察到的多种功能。在我们最近的研究中,我们在近20个国家检测到这些植入工具的最新版本,但根据我们客户群体的规模来判断,受害者的实际数量可能会更多。
总结
本季度中东地区的APT活动非常值得关注,特别是与伊朗相关的恶意活动。其中的一个攻击活动,可能是在Sofacy/Hades威胁组织帮助下开展的。
在此前,东南亚可能是APT最为活跃的地区,而本季度发现的恶意活动主要与韩国相关。该区域内的其他地区,在本季度中较为平静。
针对所有地区,地缘政治仍然是APT活动的主要导火索。
根据我们对FinSpy的分析中可以清楚地看出,政府和执法机构对商业恶意软件的需求很高。
在本季度中,最引人关注的一个方面是我们发现了TajMahal,这是一个以前从未见过且技术非常复杂的APT框架,至少已经开发了5年之久。这个成熟的间谍框架中包含多达80个存储在其加密虚拟文件系统中的恶意模块,这是我们见过的APT工具集中具有最多插件的一个。
与往常一样,我们的报告是针对所有已知威胁的描述。但需要明确的是,尽管我们努力在不断改进,但还是会存在一些未被监测到的其他复杂攻击活动。