欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

卡巴斯基发布2017年第一季度APT趋势报告

来源:本站整理 作者:佚名 时间:2017-05-08 TAG: 我要投稿

卡巴斯基实验室目前正在跟踪100多名威胁行为者和针对80多个国家的商业和政府机构的复杂恶意行动。 2017年第一季度,我们已经向情报服务订阅者发布了33份私人报告,其中包含“攻击指标”(IOC)数据和YARA规则,来协助相关人员进行取证和恶意软件搜索工作。
我们还发现国家支持的网络攻击行为的复杂性正在急剧上升,以及APT行为者和利益驱动的网络犯罪分子之间的战术、技术和流程(Tactics、Techniques和 Procedures,TTPs)正在不断融合。中东已经成为主要的网络战场之一。同时,2017年第一季度发现的一类专门摧毁硬碟资料的恶意程式“wiper”,也把业务从中东地区扩展至欧洲大陆。
在本次报告中,我们将对2017年第一季度出现的尤为突出的针对性攻击事件,以及一些需要立即关注的新型趋势进行讨论。
表现突出的定向攻击
Wipers进化:APT攻击者的新武器
在过去几个月中,出现了新一波针对中东多个目标的磁盘擦除器攻击(wiper attacks),此次攻击使用的恶意代码就是臭名昭著的Shamoon蠕虫的变种,Shamoon恶意代码曾在2012年攻击过沙特阿拉伯Aramco国家石油公司和卡塔尔Rasgas天然气公司。
在调查这些攻击事件时,我们发现了一种名为“StoneDrill”的新型Wipers,发现它与Shamoon样本存在多处类似,如利用多种技术和方法来逃避检测。

【StoneDrill和Shamoon2.0比较】
此外,我们还发现StoneDrill与Charming Kitten使用的恶意软件(NewsBeef)之间存在许多相似之处,包括代码、C&C命名规范、后门命令和功能,以及Winmain签名等。从这一点来看,StoneDrill也可能是Charming Kitten恶意软件的演变版。

【StoneDrill和NewsBeef样本中用于C2通信的凭据(用户名和密码)相同】

【StoneDrill和Shamoon2.0以及NewsBeef之间的异同比较】
对于StoneDrill、Shamoon以及Charming Kitten三个恶意软件之间的关系有以下三种假设:
StoneDrill是Shamoon攻击者部署的另一种Wiper?
StoneDrill和Shamoon是否为两个不同的恶意软件,或攻击组织毫不相关,只是同时针对沙特阿拉伯的组织机构发起攻击?
两个组织是独立的,只是目标一致?
卡巴斯基实验室全球研究与分析小组高级安全研究员Mohamad Amin Hasbini认为,威胁背后有两个独立的小组,它们具有相同的目标。因为报告显示:
“虽然Shamoon中嵌入了阿拉伯—也门语资源语言段,但StoneDrill嵌入了大多数波斯语资源语言段。当然,我们不能排除这些Artifact(指软件开发过程的中间或最后工作产品,包括文档、模型和程序)故意伪装的可能性。”
近日,我们在欧洲发现了第一例StoneDrill受害者,该受害者属于能源行业,这意味着这种攻击威胁正在从中东往欧洲蔓延。尤其是在我们认为该威胁行为可能来自国家支持的攻击组织后,这一事实更为令人担忧,这可能意味着网络破坏行为正以地缘政治动机(geopolitically-motivated)进行扩展。当然,目前为止这种假设尚未得到确认。
概要:
Wipers正在扩大他们的地理辐射;
Wipers目前已经成为APT组织武器库的一部分。它们可以被用于破坏性行为,以及在进行网络间谍活动后删除痕迹;
最新的Shamoon攻击浪潮中使用的模块之一包含勒索软件功能,这可能被认为是“不那么明显的擦拭(not-so-obvious wiping)”的另一种形式;
针对能源公司的这些破坏行为可能与一些政府支持的APT组织有关的事实绝对令人担忧,超越了典型的间谍活动。
BlueNoroff/Lazarus:银行劫案的演变
针对波兰银行的大规模水坑攻击于2017年2月3日被公开披露。攻击者在波兰金融监管机构的网站上植入了一种病毒,然后等待银行在访问该网站期间不经意地下载它。
攻击者对银行展开的就是所谓的水坑攻击——得名于攻击者在目标经常出没之处进行伏击的做法;这个案例中,“水坑”是金融监管机构的网站。当名单上的银行访问该网站时,它们会被重定向至会试图下载恶意软件的软件。除了波兰银行,攻击者也对墨西哥财政部门采取了非常类似的战术,虽然没有其他受害者被公开披露出来,但是有可能更多的银行也受到了同样的影响。
据悉,在目标名单上,波兰银行的数量最多,紧随其后的则是美国的银行,其中包括德意志银行美国分行。为农业和农村项目提供贷款的CoBank也被列为攻击目标。俄罗斯、委内瑞拉、墨西哥、智利和捷克的央行都在名单上。唯一一个与中国有关的目标,是中国银行在香港和美国的分支机构。
我们分析发现这些攻击事件与Lazarus 旗下代号为 Bluenoroff 的黑客组织有关,他们专门从事金融犯罪,包括著名的孟加拉国银行大劫案,攻击目标遍及全球十余个国家的银行、赌场、加密货币公司。此次针对全球金融机构的水坑攻击中虽然没有使用任何零日漏洞,但是Flash Player和Silverlight漏洞已经足够瓦解银行机构运行的过时软件。
事实上,我们从很久以前就开始跟踪BlueNoroff组织。刚开始,该组织主要针对东南亚地区的银行机构,后来进行重新分组并转战至新的国家,选取目标主要为贫穷、较不发达地区,因为这些目标显然更容易得手。
BlueNoroff开发了一套可以在目标组织内部横向移动的定制工具,并通过篡改SWIFT系统来实现攻击。这种技术与去年的孟加拉国央行劫案存在很大联系,当时攻击者试图从中窃取9亿美元。在2月份的“波兰劫案”中,我们发现该组织重新利用这些已知的横向移动工具,发动了新一轮的金融攻击。这让我们相信,这些攻击事件与Bluenoroff 黑客组织有关。

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载