2021年第二季度全球APT趋势讲述(二)

Allbet电脑版下载

欢迎进入Allbet电脑版下载(www.aLLbetgame.us),欧博官网是欧博集团的官方网站。欧博官网开放Allbet注册、Allbe代理、Allbet电脑客户端、Allbet手机版下载等业务。

,

中东区域的 APT流动

2020年底,一个自称“黑影”(BlackShadow)的黑客组织竟向以色列一家保险公司勒索价值100万美元的比特币,否则就宣布该公司被泄露的数据。从那以后,该组织就一战成名,之后该组织就攻击了以色列的另一家公司,并在 Telegram 上宣布了大量包罗客户相关信息的文件。在此之后,研究职员在追踪剖析中发现了该组织怪异的 .NET 后门的几个样本,这些样本以前研究职员不知道,其中一个最近在沙特阿拉伯被发现。通过以研究职员在这些样本中考察到的新基础设施指标为中央,研究职员能够找到一个特定的 C2 服务器,该服务器与恶意 Android 植入程序联系并显示出与该组织流动的联系。

研究职员之前报道了针对中东目的的 WildPressure 流动,跟踪剖析后,研究职员找到了他们的 C++ 木马的更新版本 (1.6.1)、具有相同版本的响应 VBScript 变体和一组全新的模块,包罗一个 orchestrator (MySQL 复制拓扑治理和可视化工具)和三个插件。这证实了研究职员之前的假设,即基于C2通讯协议中包罗“客户端”编程语言的一个字段,除了c++之外另有更多的“最后阶段”。WildPressure使用的另一种语言是Python。Windows的PyInstaller模块包罗一个名为“Guard”的剧本。也许最有趣的发现是,这个恶意程序是针对Windows和macOS操作系统开发的。在本例中,硬编码版本是2.2.1。在攻击者使用的所有编程语言中,其编码气概、整体设计和 C2 通讯协议都异常可识别。 WildPressure 使用的恶意程序在版本和使用的编程语言方面仍在起劲开发中。只管研究职员无法将 WildPressure 的流动与其他攻击者联系起来,但研究职员确着实 BlackShadow 使用的 TTP(战术、手艺和程序)中发现了某些相似之处,BlackShadow 在统一区域也很活跃。然而,研究职员以为这些相似之处的证据太少,说明不了什么问题。

研究职员发现了一个正在举行的流动,研究职员以为这是一个名为WIRTE的攻击者,该流动从 2019 年底最先,针对多个区域,重点是中东。 WIRTE 是一个鲜为人知的攻击者,于 2019 年首次公然提及,研究职员嫌疑它与 Gaza Cyber组织有关系,据领会,该组织是一个具有政治念头的阿拉伯语靠山的网络犯罪组织。在2月份,攻击者使用VBS/VBA植入程序,举行MS Excel 释放,攻击者使用隐藏的电子表格和 VBA 宏来释放他们的第一阶段植入程序——VBS 剧本。 VBS 剧本的主要功效是网络系统信息并执行攻击者发送的随便代码。只管研究职员最近报道了一种用于侦探和剖析流动的新的 Muddywater 第一阶段 VBS 植入程序,但这些恶意攻击程序具有略有差其余 TTP 和更普遍的目的。迄今为止,研究职员纪录的受害者集中在中东和该区域以外的其他一些国家。只管各行各业都受到影响,但重点主要是政府和外交机构;然而,研究职员也注重到针对状师事务所的差异寻常的攻击。

GoldenJackal 是研究职员最近在追踪剖析中发现的流动集群的名称,自 2019 年 11 月以来一直处于流动状态。此恶意攻击程序由一组基于 .NET 的植入程序组成,旨在控制受害装备并窃取某些来自他们的文件,这解释该攻击者的主要念头是特工流动。此外,在与中东外交机构相关的一组受限装备中发现了植入程序。对上述恶意程序以及随附的检测日志的剖析描绘了一个有能力且适度隐藏的攻击者。这可以通过研究职员遇到的少数组织中的潜在攻击者所获得的乐成驻足点获得证实,同时始终保持低署名和模糊的足迹。

东南亚及朝鲜半岛的 APT流动

ScarCruft(也称为Reaper和123组织)是亚洲区域最活跃的APT组织之一。据卡巴斯基实验室称,该组织还一直瞄准天下各地的外交团队。ScarCruft的受害者包罗中国、印度、韩国、科威特和尼泊尔的政府机构。研究职员考察到 ScarCruft 在 1 月份入侵了一个与朝鲜相关的新闻媒体网站,攻击一直连续到 3 月份。在这次攻击中,攻击者使用了与Powerfall行动相同的破绽链CVE-2020-1380和CVE-2020-0986。凭证破绽行使代码和攻击方案特征,研究职员嫌疑Operation PowerFall与ScarCruft组织有联系。破绽行使链包罗 shellcode 执行的几个阶段,最终在内存中部署 Windows 可执行载荷。研究职员发现了来自韩国和新加坡的几名受害者。除了这种水坑攻击之外,该组织还使用了隐藏其有用载荷的 Windows 可执行恶意程序。这种被称为“ATTACK-SYSTEM”的恶意程序还使用多阶段 shellcode 攻击来传送名为“BlueLight”的相同最终有用载荷。BlueLight在C2中使用OneDrive,从历史上看,ScarCruft恶意程序,尤其是RokRat,行使小我私人云服务器作为C2服务器,如pCloud、Box、Dropbox和Yandex。

2020 年 5 月,中国台湾刑事观察局 (CIB) 宣布了关于一份针对台湾立法者的攻击的通告。通告中称一名身份不明的攻击者使用虚伪的总统府电子邮件帐户发送鱼叉式网络钓鱼电子邮件,研究职员将其所含的恶意程序称之为“Palwan”。 Palwan 是一种恶意程序,能够执行基本的后门功效以及下载具有附加功效的更多模块。在剖析恶意程序时,研究职员发现了另一个针对尼泊尔的并行流动。研究职员还发现,在 2020 年 10 月和今年 1 月,使用 Palwan 恶意程序变体对尼泊尔提议了两波攻击。研究职员嫌疑尼泊尔的目的行业与台湾 CIB 讲述的行业相似。在观察尼泊尔运动中使用的基础设施时,研究职员发现与 Dropping Elephant 流动重叠。然则,研究职员以为这种重叠不足以将此流动归因于 Dropping Elephant 幕后的开发者。这种被称为“Dropping Elephant”(又被称为“Chinastrats”)的网络犯罪攻击行动可以说是并不庞大。受攻击目的主要为多个同中国和中国国际事务有关的外交和政府机构。只管攻击者只配备了较旧的破绽行使程序和通俗的攻击工具,但他们照样针对多个高级目的举行了攻击,包罗一些西方国家机构。

Bluenoroff以攻击全球的金融公司而着名,最近该组织又添加了调取加密钱币的营业。自 2020 年研究职员对 BlueNoroff 的“SnatchCrypto”流动跟踪剖析以来,该组织流传恶意程序的战略已经发生了转变。在此流动中,BlueNoroff 使用了一个行使远程模板注入破绽 CVE-2017-0199 的恶意 Word 文档。注入的模板包罗一个 Visual Basic 剧本,该剧本认真解码来自初始 Word 文档的下一个有用载荷并将其注入到正当历程中。注入的有用载荷会在受害者的装备上确立一个持久的后门。研究职员考察到了几种类型的后门。为了进一步监控受害者,攻击者还可能部署其他工具。 BlueNoroff 稀奇为此流动确立了虚伪的区块链或与加密钱币相关的公司网站,以引诱潜在受害者并启动攻击历程。攻击者使用了大量诱饵文件,其中包罗营业和保密协议以及营业先容。与之前的 SnatchCrypto 流动相比,BlueNoroff 组织使用了类似的后门和 PowerShell 署理,但更改了初始攻击前言。附加到鱼叉式网络钓鱼电子邮件的 Windows 快捷方式文件曾经是攻击的起点,不外它们现在已被武器化的 Word 文档所取代。

手机新2管理端

手机新2管理端(www.22223388.com)实时更新发布最新最快最有效的手机新2管理端网址,包括新2手机网址,新2备用网址,皇冠最新网址,新2足球网址,新2网址大全。

研究职员发现了使用修订后的攻击方案和针对韩国各行业的自界说勒索软件的 Andariel 流动。 4 月,研究职员考察到一个包罗韩文文件名和诱饵的可疑文件上传到 VirusTotal。这解释攻击者使用了一个新的攻击方案和一个生疏的有用载荷。Malwarebytes最近宣布了一份讲述,其中包罗有关统一家族攻击的手艺细节,并将其归罪于 Lazarus 组织。经由深入剖析,研究职员得出了差其余结论—— Andariel组织是这些攻击的幕后黑手。此流动中的第二阶段有用载荷与来自 Andariel 组织的以前恶意程序之间的代码重叠。除了代码相似性和受害者相同外,研究职员还发现了与 Andariel 组织的其他联系。每个攻击者在后开发阶段与后门 shell 交互事情时都有一个怪异的习惯。此流动中使用 Windows 下令及其选项的方式与之前的 Andariel 流动险些相同。自 2020 年年中以来,攻击者一直在流传第三阶段的有用载荷,并行使恶意 Word 文档和模拟 PDF 文档的文件作为攻击前言。值得注重的是,除了最后一个后门,研究职员还发现一名受害者攻击了自界说勒索软件。这种勒索软件为这次 Andariel 流动增添了另一个方面,该流动之前对 ATM 举行过攻击。

研究职员最近在东南亚发现了一次有 LuminousMoth 的攻击者提议的大规模、高度活跃的攻击。进一步剖析显示,这种恶意流动可以追溯到 2020 年 10 月,而且在 6 月仍在举行中。 LuminousMoth 行使 DLL 侧加载来下载和执行 Cobalt Strike 载荷。然而,这种攻击最有趣的部门可能是它通过攻击 USB 驱动器流传到其他主机的能力。除了恶意 DLL 之外,攻击者还在一些受攻击的系统上部署了盛行应用程序 Zoom 的伪造署名,这样攻击者就能够窃取文件;以及通过从 Chrome 浏览器窃取 cookie 来接见受害者 Gmail 会话的附加工具。基础设施关系以及共享的 TTP 示意 LuminousMoth 和 HoneyMyte 威胁组织之间可能存在联系,该组织已往曾针对统一区域并使用类似的工具提议过攻击。这种流动早期大多数发生在缅甸,但现在看来攻击者在菲律宾更为活跃,已知的攻击次数增添了十倍以上。这就提出了一个问题,即这种攻击是不是专门针对菲律宾设计的。

研究职员最近报道了 SideCopy 流动与基于 Android 的植入一起攻击 Windows 平台。事实证实,这些植入程序是由多个应用程序组成的,充当信息窃取程序,从受害者的装备中网络敏感信息,例如联系人列表、短信、通话录音、媒体和其他类型的数据。随后,研究职员发现了其他恶意 Android 应用程序,其中一些声称是已知的新闻应用程序,例如 Signal 或成人谈天平台。这些新发现的应用程序使用 Firebase 新闻转达服务作为吸收下令的通道。操作员可以控制Dropbox或其他硬编码服务器是否被用于窃取文件。

其他有趣的 APT流动

研究职员扩展了针对CVE-2021-1732破绽的研究,该破绽最初由DBAPPSecurity Threat Intelligence Center发现,由Bitter APT小组使用,研究职员发现了另一个可能在亚太区域使用的零日破绽。有趣的是,该破绽是作为一个单独框架的一部门被发现的,与CVE-2021-1732以及其他之前被修补过的破绽一起被发现的。研究职员异常确信,这个框架与Bitter APT完全无关,被差其余攻击者使用过。进一步剖析解释,至少从2020年11月起,这种特权升级(EoP)破绽就有可能在野外使用。发现后,研究职员在2月份向微软讲述了这个新的破绽。微软经由确认,将其命名为 CVE-2021-28310。

破绽中留下的种种痕迹和文物意味着研究职员也异常确信CVE-2021-1732和CVE-2021-28310是由“Moses”破绽开发职员确立的。“Moses”似乎是一名破绽行使开发职员,他凭证已往的其他破绽行使情形,向多个攻击者提供破绽行使。迄今为止,研究职员已经确认至少有两个已知的攻击者行使了最初由 Moses 开发的破绽:Bitter APT 和 Dark Hotel。基于类似的符号和工件,以及从第三方私下获得的信息,研究职员以为已往两年在野外至少考察到的有六个破绽源自“ Moses ”。虽然 EoP 破绽是在野外发现的,但研究职员现在无法将其直接与现在正在跟踪的任何已知攻击者联系起来。 EoP 破绽行使可能与其他浏览器破绽行使链接在一起,以逃避沙箱并获得系统级权限以举行进一步接见。不幸的是,研究职员无法捕捉完整的破绽行使链,因此研究职员不知道该破绽行使是否与其他浏览器零日破绽一起使用,或者与行使已知已修补破绽的破绽行使相连系。

在 ProxyLogon 和其他 Exchange 破绽被曝光后,研究职员发现APT 攻击者对 Exchange 服务器的攻击激增,他们注重到了一个怪异的流动集群,这引起了研究职员的注重,由于至少从 2020 年 12 月起,它背后的攻击者似乎一直在攻击Exchange 服务器,而且使用的工具集都是新开发的。在3月份,几波针对Exchange服务器的攻击被曝光,所变现出来的流动与研究职员考察到的相同。部门形貌了研究职员考察到的相同流动集群。据ESET报道,其中一项评估显示,该流动背后的攻击者在其公然宣布之前就已经获得了生意所的破绽,这与研究职员去年对其早期流动的考察相符。只管云云,没有一个公共账户形貌了完整的熏染链,以及作为该组织行动一部门的恶意程序部署的后期阶段。

4 月 15 日,Codecov 公然披露其 Bash Uploader 剧本已被泄露。 Bash Uploader 剧本由 Codecov 公然流传,旨在网络有关用户执行环境的信息,网络代码笼罩率讲述,并将其发送到 Codecov 基础设施。因此,这种剧本入侵有用地组成了供应链攻击。 Bash 上传程序剧本通常在开发和测试环境中作为受信托的资源执行(包罗作为自动化构建历程的一部门,例如连续集成或开发管道);它的入侵可能会导致恶意接见基础设施或帐户隐秘,以及代码存储库和源代码。虽然研究职员还无法确认恶意剧本部署、检索有关受攻击目的的任何信息或识别进一步相关的恶意工具,但研究职员能够网络受攻击 Bash 上传程序剧本的一个样本,并识别一些可能关联的分外恶意服务器。

在微软4 月宣布了更新后,一些可疑二进制文件文件引起了研究职员的注重,它们伪装成“2021年4月平安更新安装程序”。他们使用有用的数字署名举行署名,提供 Cobalt Strike 信标模块。这些模块很可能是用窃取的数字证书署名的。这些 Cobalt Strike 信标植入程序设置有硬编码的 C2,“code.microsoft.com”。现在研究职员可以确认微软的基础设施没有受到攻击。事实上,未经授权的一方接受了悬空的子域“code.microsoft.com”并将其设置为剖析到他们的 Cobalt Strike 主机,约莫在 4 月 15 日设置。该域托管了 Cobalt Strike 信标有用载荷,使用特定且唯一的用户署理服务于 HTTP 客户端。

4 月 14 日至 15 日,卡巴斯基检测到一波针对多家公司的高度针对性攻击,所有这些攻击都行使了 Google Chrome 和 Microsoft Windows 零日破绽链。虽然研究职员现在还无法在 Chrome 网络浏览器中检索用于远程代码执行 (RCE) 的破绽,但研究职员能够找到并剖析用于逃离沙箱并获取系统权限的权限提升 (EoP) 破绽。 EoP 破绽行使经由微调,可以针对 Windows 10 的最新和最突出的版本(17763 – RS5, 18362 – 19H1, 18363 – 19H2, 19041 – 20H1, 19042 – 20H2),它行使 Microsoft Windows 操作系统内核。 4 月 20 日,研究职员向 Microsoft 讲述了这些破绽,他们将 CVE-2021-31955 分配给信息披露破绽,将 CVE-2021-31956 分配给 EoP 破绽。这两个破绽都在 6 月 8 日举行了修复。破绽行使链试图通过释放程序在系统中安装了恶意程序。恶意程序以系统服务的形式启动并加载有用载荷,这是一个“远程shell”式的后门,它反过来毗邻到C2获取下令。到现在为止,研究职员还没有找到任何与已知攻击者的联系或重叠。因此,研究职员暂时将这个流动集群称为PuzzleMaker。

总结

通过剖析,攻击者的 TTP 一直在与时俱进,除了严重依赖社会工程外,他们还更新了工具集并扩展了他们的流动局限。

本文翻译自:https://securelist.com/apt-trends-report-q2-2021/103517/

  • 评论列表:
  •  U交所(www.usdt8.vip)
     发布于 2021-09-15 00:07:11  回复
  • 全新的小米MIX 4最快可能于8月份宣布,其售价也将跨越现在小米最顶级的11 Ultra,值得期待。心情阳光明媚啊

添加回复:

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。