2024 年第二季度 APT 趋势报告
六年来,卡巴斯基全球研究与分析团队 GReAT 一直在分享有关高级持续性威胁 (APT) 的季度更新。
这些摘要基于我们的威胁情报研究,为我们在私人 APT 报告中发布和讨论更详细的内容提供了代表性概述。在最新一期中,将重点关注在 2024 年第二季度观察到的活动。
最新发现
3 月,人们在 XZ 中发现了一个后门,XZ 是一个集成在许多流行的 Linux 发行版中的压缩实用程序。OpenSSH 服务器进程 sshd 使用后门库 liblzma。OpenSSH 已修补以使用许多基于 systemd 的发行版(包括 Ubuntu、Debian 和 RedHat/Fedora Linux)上的 systemd 功能,因此依赖于此库(Arch Linux 和 Gentoo 不受影响)。
该代码是在 2024 年 2 月和 3 月插入的,主要由 Jia Cheong Tan(可能是虚构身份)插入。
攻击的可能目标是通过针对 XZ 构建过程将独占的远程代码执行功能引入 sshd 进程,然后将后门代码推送到主要的 Linux 发行版,作为大规模供应链攻击的一部分。攻击者使用社会工程学来获得对源代码/开发环境的长期访问权限,并通过伪造明显的人类交互来扩展该访问权限,以建立引入恶意代码的可信度。
liblzma 库中的后门是在两个层面引入的。生成最终软件包的构建基础架构的源代码经过了轻微调整(通过添加一个额外的文件 build-to-host.m4),以提取隐藏在测试用例文件 ( bad-3-corrupt_lzma2.xz ) 中的下一阶段脚本。
然后,该脚本从另一个测试用例文件 ( good-large_compressed.lzma ) 中提取了一个恶意二进制组件,该文件在编译过程中与合法库链接,并被发送到 Linux 存储库。
一些大型供应商最终在测试版和实验版中发布了恶意组件,却没有意识到这一点。XZ Utils 的入侵被赋予了标识符 CVE-2024-3094,最高严重性评分为 10。
攻击者的最初目标是成功挂钩与 RSA 密钥操作相关的函数之一。在对挂钩过程的分析中,我们重点关注了后门在 OpenSSH 中的行为,特别是 OpenSSH 便携版本 9.7p1(最新版本)。我们的分析揭示了有关后门功能的许多有趣细节。
·攻击者设置了防重放功能,以确保后门通信不会被捕获或劫持。
·作者使用自定义隐写技术将后门解密的公钥隐藏在 x86 代码中。
·后门挂钩日志记录功能,以隐藏其对 SSH 服务器的未经授权连接的日志。
·该后门钩住了密码认证功能,使得攻击者可以使用任意用户名/密码登录受感染的服务器,而无需进行任何进一步的检查。对于公钥认证,它也做同样的事情。
·该后门具有远程代码执行功能,这意味着攻击者可以在受感染的服务器上运行任何系统命令。
PcExter
在之前关于 ToddyCat 的报告中,我们描述了用于收集和泄露此 APT 威胁者感兴趣的文件的各种工具。其中一种工具是 PcExter,它最初仅用于泄露以前借助其他工具(例如 FileScan)收集的数据。然而,我们最近发现了一个新版本 PcExter 2.0,它已完全重新设计并用 .NET 重写,能够收集数据本身,并使用改进的文件搜索机制。我们发现了此工具的几个版本以及一组特殊的加载器。
2021 年,我们发布了一份私人报告,描述了 QSC 的技术细节,QSC 是一个在调查针对南亚电信行业的攻击时发现的框架。
虽然我们的研究没有揭示该框架是如何部署的,也没有揭示其背后的威胁组织,但我们继续监控我们的遥测数据,以进一步检测 QSC 框架。2023 年 10 月,我们在西亚地区多次检测到针对 ISP 的 QSC 框架文件。调查显示,目标机器自 2022 年以来就已感染了 Quarian 后门版本 3(又名 Turian),并且相同的攻击者从 2023 年 10 月 10 日开始使用此访问权限部署 QSC 框架。除了 QSC 框架之外,攻击者还部署了一个用 Golang 编写的新后门,我们将其命名为“GoClient”,且在 2023 年 10 月 17 日首次看到了此 GoClient 后门的部署。在分析了此活动中的所有工件后,我们中等程度地评估 CloudComputating 威胁分子是 QSC 框架和 GoClient 后门部署的幕后黑手。
2023 年初,当该威胁者使用受监控的恶意 IIS 模块 Owowa 的修改版本时,发现了 GOFFEE 的活动。从那时起,GOFFEE 停止使用 Owowa 以及 PowerShell RCE 植入物 VisualTaskel;然而,它继续利用威胁分子之前基于 HTA 的感染链 PowerTaskel 进行入侵,并在其武器库中添加了一个伪装成合法文档并通过电子邮件分发的新加载程序。
我们最近发现了一种新的远程访问工具 (RAT),检测率较低,名为 SalmonQT。引起我们注意的是,该样本使用 GitHub 的 REST API 接受指令和上传数据,从而充当 C2(命令和控制)服务器。
乍一看,GitHub 存储库的路径似乎已被删除,但仔细检查后发现,存储库已设置为私有,并且只有使用正确的令牌才能访问 REST API。
中东
Gaza Cybergang 至少从 2012 年开始活跃,主要针对中东和北非。
当我们首次开始跟踪该组织时,其攻击性质相对简单,通常依赖于公开可用的恶意软件家族,例如 QuasarRAT。尽管如此,该组织仍展示了我们至今仍能看到的特定 TTP – 每次活动仅针对少数目标。
今年年初,我们发现了几起涉及 Gaza Cybergang 的案例,威胁者对其 TTP 进行了轻微调整。该组织不再使用 tabcal.exe 作为侧载其初始访问下载程序 IronWind 的工具,而是改用另一个合法的 Windows Media Utility 文件 setup_wm.exe。诱饵也更改为更通用的主题,而不是专注于特定的地缘政治局势。
东南亚及朝鲜半岛
2023 年,我们在调查使用一组恶意软件家族的攻击时发现了神秘大象,这些恶意软件家族之前与其他已知威胁者(如 SideWinder 和 Confucius)有关。
在分析基础设施时,我们意识到这些攻击实际上不是由任何先前已知的威胁者发起的,而是由我们称为神秘大象的新威胁者发起的。自那时以来,该威胁者一直很活跃,自我们首次报告以来已发动了多次攻击。
我们发现了神秘大象在最近的攻击中开发和使用的大量新恶意软件家族,以及最近创建的基础设施和更新的工具——主要是后门和加载程序,以最大限度地减少攻击早期阶段的检测。在我们的报告中,我们描述了该威胁者发起的最新攻击,并分析了新发现的恶意软件样本和相关基础设施。
黑客行动主义
随着 2022 年 2 月俄乌冲突的爆发,双方出现了数百个不同的黑客组织。其中一个组织是 -=Twelve=-。该组织在信息领域宣称自己已经入侵了俄罗斯联邦的各个政府和工业企业。其中一些目标已在该组织自己平台上的官方频道上发布,而其他目标则仍处于暗中。
虽然互联网上有来自各种 CTI(网络威胁情报)供应商的关于 Twelve 组织的多份报告,试图描述该组织的活动,但我们没有看到任何详细介绍攻击中使用的工具和技术的报告。我们关于 Twelve 的报告详细概述了该组织使用的 TTP 以及与其基础设施的连接。
今年 2 月,阿尔巴尼亚地理统计研究所 (INSTAT) 遭到攻击。这次攻击是国土正义组织所为,该组织自称是一个黑客行动主义组织,但被怀疑是受政府支持的组织。三年多来,该组织一直在无情地攻击阿尔巴尼亚目标,尤其是政府部门。攻击者能够获取超过 100TB 的数据,并破坏组织的官方网站和电子邮件服务,并清除数据库服务器和备份。
袭击的主要原因之一是阿尔巴尼亚境内有圣战者组织 (MEK) 难民营:国土正义组织认为该组织是恐怖组织,并认为阿尔巴尼亚政府的特定部门和某些公司为他们提供支持和资金。
威胁者持续进行网络行动,旨在传达其反 MEK 的政治信息。他们试图在阿尔巴尼亚人民中获得支持,让政府放弃 MEK——他们的行动属于所谓的心理战 (PsyOps) 活动。
我们分析了该组织的活动历史,该组织近三年来一直在进行网络攻击,旨在对阿尔巴尼亚政府和民众施加长期压力。在报告中,我们介绍了该组织的主要活动,包括与具有相同目标的盟友组织合作的复杂行动,以及机会性攻击。
还描述了该组织使用的主要技术,包括利用面向互联网的服务器进行初始访问、横向移动活动、扩大攻击面,以及在网络行动的最后破坏阶段使用自定义擦除恶意软件和勒索软件。此外,我们还研究了该组织的说服机制,例如通过社交网络和新闻媒体扩大消息范围、分享被盗数据以获得恶名并倡导变革,以及不断威胁未来发动攻击以使其目标保持永久警惕状态。
其他发现
安全研究人员在东非的一个系统上发现了一个新的模块化恶意软件框架,我们将其命名为“Aniseed Vodka”:该系统于 2018 年被感染。该框架由一个主模块、一个 JSON 格式的配置文件和一组插件组成。
该框架具有高度可配置性,允许其操作员指定插件的操作参数,并按特定间隔安排插件任务(例如屏幕捕获、网络摄像头捕获和数据泄露)。该框架采用反检测和反取证技术,使其能够隐蔽地运行。它使用非传统通信渠道来逃避网络检测,使用 Google Chat 作为 C2 渠道,使用 Gmail 发送警报,使用 Google Drive 作为泄露渠道。据我们所知,我们在报告中介绍的框架并不为公众所知。我们无法将此框架与现有的威胁者联系起来。
我们之前关于 DinodasRAT 的报告显示,Linux 后门版本与 Windows 版本在功能上存在大量重叠,并且还具有其他特定于 Linux 的功能,例如通过 systemd 或 SystemV 实现持久性。
近几个月来,我们收集了更多相关样本,从而对 Linux 变体有了更深入的了解。有迹象表明,早在 2021 年,它就已在攻击活动中使用。
此前,ESET 披露了一项正在进行的 APT 活动,该活动使用了该威胁的 Windows 版本,该活动名为“Operation Jacana”,该活动之前被识别为 XDealer。据 Trend Micro 描述,DinodasRAT 也被用于最近的 APT 活动,该活动包括 Windows 和 Linux 版本。在我们关于 DinodasRAT Linux 变体的最新报告中,重点关注了与 C2 的网络通信以及恶意软件在受感染机器上执行的操作,而不仅仅是建立持久性和等待 C2 命令。
2024 年 5 月,我们发现了一个针对俄罗斯政府实体的新 APT。CloudSorcerer 恶意软件是一种复杂的网络间谍工具,用于通过 Microsoft、Yandex 和 Dropbox 云基础设施进行隐身监控、数据收集和泄露。该恶意软件使用云资源作为其 C2 服务器,通过使用身份验证令牌的 API 访问它们。
此外,CloudSorcerer 使用 GitHub 作为其初始 C2 服务器。CloudSorcerer 的作案手法让人想起了我们在 2023 年报道过的 CloudWizard APT。然而,恶意软件代码完全不同。我们认为 CloudSorcerer 是一个新的威胁者,它采用了类似的方法与公共云服务进行交互。
4 月,我们发现了一项此前未知的活动,该活动使用 Telemos 后门针对俄罗斯的组织(包括政府部门)。该恶意软件以 ZIP 文件的形式通过鱼叉式网络钓鱼电子邮件发送,其中包含两种类型的植入程序之一 - 带有 .SCR 扩展名的 PE64 可执行文件或带有 .WSF 扩展名的 Windows 脚本文件。它们会植入并执行具有后门功能的基于 PowerShell 的脚本。我们发现了与这些攻击相关的几个恶意样本,并能够恢复原始源代码。
此威胁的主要目的是间谍活动——从浏览器中收集数据,例如登录凭据、cookie 和浏览历史记录,以及从受影响系统上的可用驱动器收集感兴趣的文件。目前无法将该操作与已知的威胁者联系起来。
写在最后
虽然一些威胁者的 TTP 保持不变,例如严重依赖社会工程学进入目标组织或入侵个人设备,但其他威胁者已更新其工具集并扩大其活动范围。我们定期的季度报告旨在重点介绍与 APT 团体相关的最重要发展。
以下是我们在 2024 年第二季度看到的主要趋势:
·本季度的重点亮点是集成到许多流行 Linux 发行版中的 XZ 压缩实用程序的后门 - 特别是使用社会工程学来获取对开发环境的持续访问权限。
·本季度,我们发现 APT 活动集中在欧洲、美洲、亚洲、中东和非洲,针对的是政府、军事、电信和司法系统等多个领域。
·大多数 APT 活动的目的是进行网络间谍活动,尽管有些活动是为了获取经济利益。
·黑客攻击也是本季度威胁形势的一个特点。并非所有这些攻击都集中在公开冲突地区,正如国土正义组织对阿尔巴尼亚实体的攻击所示。
需要强调的是,报告是我们对威胁形势的洞察的产物。然而,重要的是要记住,虽然我们在不断改进,但总有可能存在其他可能被忽视的复杂攻击。
值得一提的是,当提到 APT 组织使用俄语、或其他语言时,我们指的是这些组织使用的各种工具(例如恶意软件调试字符串、脚本中的注释等)中包含这些语言的单词,这些工具是基于我们直接获得的信息或以其他方式公开和广泛报道的信息。使用某些语言并不一定表示特定的地理关系,而是指向这些 APT 工具背后的开发人员使用的语言。