欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

卡巴斯基:2019Q2高级持续性威胁(APT)趋势报告

来源:本站整理 作者:佚名 时间:2019-08-07 TAG: 我要投稿

近两年来,卡巴斯基的全球研究与分析团队(GReAT)一直在发布关于高级持续性威胁(APT)活动的季度报告。该报告主要基于我们的威胁情报研究,提供了我们内部APT报告的代表性结论,并将我们认为大家应该关注的重大事件和发现公之于众。

这是我们最新的一期报告,重点介绍我们在2019年第二季度观察到的高级持续性威胁活动。

主要发现

4月,我们发布了关于TajMahal的报告,这是一个此前从未见过的APT框架,在过去五年之中一直活跃。具体而言,TajMahal是一个高度复杂的间谍软件框架,包括后门、加载工具、协调工具、C2通信工具、音频录制工具、键盘记录工具、屏幕截取工具和网络摄像头录制工具。我们发现,其加密的虚拟文件系统中存储了多达80个恶意模块,我们此前从没有在APT工具集中见到过如此之多的插件。该恶意软件具有自己的索引工具和紧急C2,能够在外部存储盘再次可用时窃取特定文件,此外还有一系列功能。在我们调查的计算机上,发现该框架使用了两个不同的包,分别称为“Tokyo”(东京)和“Yokohama”(横滨)。我们认为,攻击者使用Tokyo进行第一阶段感染,并在成功感染的受害者主机上部署功能齐全的Yokohama一系列恶意工具,同时将Tokyo作为一个备份。到目前为止,根据我们的远程监测,仅仅发现了一个受害者,是一个来自中亚某国家的外交机构。这就引出了一个问题,为什么如此复杂的攻击仅仅针对一个目标?我们认为,可能还有其他受害者尚未发现。有一个证据可以支撑这个说法,我们目前还暂时没有发现恶意软件是如何使用VFS中的一个文件,因此可能说明目前仍有尚未检测到的其他版本的恶意软件。

5月14日,据英国《金融时报》报道,WhatsApp出现0-day漏洞利用,允许攻击者对用户进行窃听、阅读用户的加密聊天内容、打开麦克风和摄像头、安装间谍软件,甚至允许攻击者进一步对用户进行监控,例如浏览用户的照片和视频、访问用户的联系人列表等。要利用此漏洞,攻击者只需要通过WhatsApp呼叫受害者,有一个特定的调用可以在WhatsApp中触发缓冲区溢出,允许攻击者控制应用程序,并在其中执行任意代码。显然,攻击者使用这种方式不仅仅能监控人们的聊天和呼叫,还可以利用操作系统上从前未知的漏洞在设备上安装应用程序。该漏洞影响WhatsApp for Android 2.19.134及以前版本、WhatsApp for iOS 2.19.51及以前版本、WhatsApp Business for iOS 2.19.51及以前版本、WhatsApp for Windows Phone 2.18.348及以前版本、WhatsApp for Tizen 2.18.15及以前版本,WhatsApp在5月13日发布了该漏洞的补丁。一些研究表明,利用该漏洞的间谍软件可能是由以色列NSO公司开发的Pegasus。

使用俄语的恶意活动

我们持续跟踪了使用俄语的一些APT组织的恶意活动。通常来说,这些恶意组织会对政治活动特别感兴趣,但除了几个值得关注的之外,我们在上一季度没有发现任何具有显著特征的例子。

在分析过程中,我们发现了Hades与RANA研究所之间的潜在联系。Hades可能与Sofacy威胁组织有关,最值得注意的是Olympic Destroyer、ExPetr和几个包含虚假信息的恶意活动,例如Macron漏洞。今年早些时候,一个名为Hidden Reality的网站发表了一篇揭秘文章,表明该组织涉嫌与名为RANA研究所的伊朗实体相关。这是该网站在两个月内第三次披露与伊朗攻击者和恶意组织相关的细节。在对样本、基础设施和揭秘内容进行分析之后,我们认为,揭秘的这部分内容可能与Hades有关。这可能是一场包含虚假信息的恶意活动中的一部分,Hades针对今年早些时间其他案件中泄露信息的质量提出了质疑。

Zebrocy继续使用各种编程语言为其武器库添加新工具。我们发现,Zebrocy在一个东南亚外交组织中,部署了一个编译过的Python脚本,我们称之为PythocyDbg——该模块主要提供网络代理和通信调试功能。在2019年初,Zebrocy通过使用Nimrod/Nim改变了其开发模式,Nimrod/Nim是一种编程语言,其语法类似于Pascal和Python,可以编译为JavaScript或C语言的目标程序。该恶意组织主要将Nim下载工具用作钓鱼,此外也有一些其他Nim后门代码在与Go语言和Delphi语言编写而成的模块一起提供。这一系列新型Nimcy下载工具和后门主要针对外交官员、国防官员、外交部工作人员发动攻击,主要希望窃取他们的登录凭据、键盘输入、通信以及各类文件。该恶意组织似乎已经将注意力转向巴基斯坦和印度,针对三月事件相关或无关的外交及军事官员。与此同时,该恶意组织还始终保持着对中亚地区政府本地和远程网络的访问。

近期,我们还观察到了一些与Turla相关的新迹象,它们具有不同程度的置信度。

在2019年4月,我们观察到有攻击者使用新型恶意软件攻击与COMpfun恶意软件的目标相近的目标。Kaspersky Attribution Engine发现新型恶意软件的代码与旧版本COMpfun之间具有较强的相似性。除此之外,原始的COMpfun在其中一个传播机制中被用作下载工具。根据一些样本的.pdb路径,我们将新识别的模块称为Reductor。我们认为,新型恶意软件是由与COMPfun相同的作者开发的。根据受害者,我们认为该恶意软件暂时与Turla APT具有一定关联。除了典型的RAT功能(上传、下载、执行文件)之外,Reductor的作者还投入大量精力来操纵已安装的数字根证书,并使用独特的主机相关标识符来标记出站TLS流量。恶意软件将嵌入的根证书添加到目标主机中,并允许恶意运营者通过命名远程管道来添加其他证书。Reductor的开发人员使用了非常巧妙的方式标记TLS流量,他们完全没有去研究网络数据包,相反的是,他们对Firefox和Chrome的二进制代码进行分析,以修补进程内存中相应的系统伪随机数生成(PRNG)函数。浏览器使用PRNG函数,在TLS握手一开始时就生成“客户端随机”(Client Random)序列。Reductor将受害者独有的标识符(基于当前使用的硬件和软件计算而成)添加到这个“客户端随机”的字段之中。

除此之外,我们发现了一个新的后门,我们确认该后门与Turla相关。该后门名为Tunnus,是基于.NET的恶意软件,能够在受感染的系统上运行命令或执行文件操作,并将结果发送到C2。到目前为止,C2基础架构是使用带有漏洞的WordPress构建的。根据我们的远程监测,Tunnus的恶意活动从去年3月开始,在撰写本文时仍然活跃。

[1] [2] [3] [4]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载