信息化觀察網(wǎng)

本文來自微信公眾號(hào)“嘶吼專業(yè)版”，作者/胡金魚。

六年來，卡巴斯基全球研究與分析團(tuán)隊(duì)GReAT一直在分享有關(guān)高級(jí)持續(xù)性威脅(APT)的季度更新。

這些摘要基于威脅情報(bào)研究，為我們?cè)谒饺薃PT報(bào)告中發(fā)布和討論更詳細(xì)的內(nèi)容提供了代表性概述。在最新一期中，將重點(diǎn)關(guān)注在2024年第二季度觀察到的活動(dòng)。

最新發(fā)現(xiàn)

3月，人們?cè)赬Z中發(fā)現(xiàn)了一個(gè)后門，XZ是一個(gè)集成在許多流行的Linux發(fā)行版中的壓縮實(shí)用程序。OpenSSH服務(wù)器進(jìn)程sshd使用后門庫liblzma。OpenSSH已修補(bǔ)以使用許多基于systemd的發(fā)行版（包括Ubuntu、Debian和RedHat/Fedora Linux）上的systemd功能，因此依賴于此庫（Arch Linux和Gentoo不受影響）。

該代碼是在2024年2月和3月插入的，主要由Jia Cheong Tan（可能是虛構(gòu)身份）插入。

攻擊的可能目標(biāo)是通過針對(duì)XZ構(gòu)建過程將獨(dú)占的遠(yuǎn)程代碼執(zhí)行功能引入sshd進(jìn)程，然后將后門代碼推送到主要的Linux發(fā)行版，作為大規(guī)模供應(yīng)鏈攻擊的一部分。攻擊者使用社會(huì)工程學(xué)來獲得對(duì)源代碼/開發(fā)環(huán)境的長期訪問權(quán)限，并通過偽造明顯的人類交互來擴(kuò)展該訪問權(quán)限，以建立引入惡意代碼的可信度。

liblzma庫中的后門是在兩個(gè)層面引入的。生成最終軟件包的構(gòu)建基礎(chǔ)架構(gòu)的源代碼經(jīng)過了輕微調(diào)整（通過添加一個(gè)額外的文件build-to-host.m4），以提取隱藏在測(cè)試用例文件(bad-3-corrupt_lzma2.xz)中的下一階段腳本。

然后，該腳本從另一個(gè)測(cè)試用例文件(good-large_compressed.lzma)中提取了一個(gè)惡意二進(jìn)制組件，該文件在編譯過程中與合法庫鏈接，并被發(fā)送到Linux存儲(chǔ)庫。

一些大型供應(yīng)商最終在測(cè)試版和實(shí)驗(yàn)版中發(fā)布了惡意組件，卻沒有意識(shí)到這一點(diǎn)。XZ Utils的入侵被賦予了標(biāo)識(shí)符CVE-2024-3094，最高嚴(yán)重性評(píng)分為10。

攻擊者的最初目標(biāo)是成功掛鉤與RSA密鑰操作相關(guān)的函數(shù)之一。在對(duì)掛鉤過程的分析中，我們重點(diǎn)關(guān)注了后門在OpenSSH中的行為，特別是OpenSSH便攜版本9.7p1（最新版本）。我們的分析揭示了有關(guān)后門功能的許多有趣細(xì)節(jié)。

·攻擊者設(shè)置了防重放功能，以確保后門通信不會(huì)被捕獲或劫持。

·作者使用自定義隱寫技術(shù)將后門解密的公鑰隱藏在x86代碼中。

·后門掛鉤日志記錄功能，以隱藏其對(duì)SSH服務(wù)器的未經(jīng)授權(quán)連接的日志。

·該后門鉤住了密碼認(rèn)證功能，使得攻擊者可以使用任意用戶名/密碼登錄受感染的服務(wù)器，而無需進(jìn)行任何進(jìn)一步的檢查。對(duì)于公鑰認(rèn)證，它也做同樣的事情。

·該后門具有遠(yuǎn)程代碼執(zhí)行功能，這意味著攻擊者可以在受感染的服務(wù)器上運(yùn)行任何系統(tǒng)命令。

PcExter

在之前關(guān)于ToddyCat的報(bào)告中，我們描述了用于收集和泄露此APT威脅者感興趣的文件的各種工具。其中一種工具是PcExter，它最初僅用于泄露以前借助其他工具（例如FileScan）收集的數(shù)據(jù)。然而，我們最近發(fā)現(xiàn)了一個(gè)新版本PcExter 2.0，它已完全重新設(shè)計(jì)并用.NET重寫，能夠收集數(shù)據(jù)本身，并使用改進(jìn)的文件搜索機(jī)制。我們發(fā)現(xiàn)了此工具的幾個(gè)版本以及一組特殊的加載器。

2021年，我們發(fā)布了一份私人報(bào)告，描述了QSC的技術(shù)細(xì)節(jié)，QSC是一個(gè)在調(diào)查針對(duì)南亞電信行業(yè)的攻擊時(shí)發(fā)現(xiàn)的框架。

雖然我們的研究沒有揭示該框架是如何部署的，也沒有揭示其背后的威脅組織，但我們繼續(xù)監(jiān)控我們的遙測(cè)數(shù)據(jù)，以進(jìn)一步檢測(cè)QSC框架。2023年10月，我們?cè)谖鱽喌貐^(qū)多次檢測(cè)到針對(duì)ISP的QSC框架文件。調(diào)查顯示，目標(biāo)機(jī)器自2022年以來就已感染了Quarian后門版本3（又名Turian），并且相同的攻擊者從2023年10月10日開始使用此訪問權(quán)限部署QSC框架。除了QSC框架之外，攻擊者還部署了一個(gè)用Golang編寫的新后門，我們將其命名為“GoClient”，且在2023年10月17日首次看到了此GoClient后門的部署。在分析了此活動(dòng)中的所有工件后，我們中等程度地評(píng)估CloudComputating威脅分子是QSC框架和GoClient后門部署的幕后黑手。

2023年初，當(dāng)該威脅者使用受監(jiān)控的惡意IIS模塊Owowa的修改版本時(shí)，發(fā)現(xiàn)了GOFFEE的活動(dòng)。從那時(shí)起，GOFFEE停止使用Owowa以及PowerShell RCE植入物VisualTaskel；然而，它繼續(xù)利用威脅分子之前基于HTA的感染鏈PowerTaskel進(jìn)行入侵，并在其武器庫中添加了一個(gè)偽裝成合法文檔并通過電子郵件分發(fā)的新加載程序。

我們最近發(fā)現(xiàn)了一種新的遠(yuǎn)程訪問工具(RAT)，檢測(cè)率較低，名為SalmonQT。引起我們注意的是，該樣本使用GitHub的REST API接受指令和上傳數(shù)據(jù)，從而充當(dāng)C2（命令和控制）服務(wù)器。

乍一看，GitHub存儲(chǔ)庫的路徑似乎已被刪除，但仔細(xì)檢查后發(fā)現(xiàn)，存儲(chǔ)庫已設(shè)置為私有，并且只有使用正確的令牌才能訪問REST API。

中東

Gaza Cybergang至少從2012年開始活躍，主要針對(duì)中東和北非。

當(dāng)我們首次開始跟蹤該組織時(shí)，其攻擊性質(zhì)相對(duì)簡(jiǎn)單，通常依賴于公開可用的惡意軟件家族，例如QuasarRAT。盡管如此，該組織仍展示了我們至今仍能看到的特定TTP–每次活動(dòng)僅針對(duì)少數(shù)目標(biāo)。

今年年初，我們發(fā)現(xiàn)了幾起涉及Gaza Cybergang的案例，威脅者對(duì)其TTP進(jìn)行了輕微調(diào)整。該組織不再使用tabcal.exe作為側(cè)載其初始訪問下載程序IronWind的工具，而是改用另一個(gè)合法的Windows Media Utility文件setup_wm.exe。誘餌也更改為更通用的主題，而不是專注于特定的地緣政治局勢(shì)。

東南亞及朝鮮半島

2023年，我們?cè)谡{(diào)查使用一組惡意軟件家族的攻擊時(shí)發(fā)現(xiàn)了神秘大象，這些惡意軟件家族之前與其他已知威脅者（如SideWinder和Confucius）有關(guān)。

在分析基礎(chǔ)設(shè)施時(shí)，我們意識(shí)到這些攻擊實(shí)際上不是由任何先前已知的威脅者發(fā)起的，而是由我們稱為神秘大象的新威脅者發(fā)起的。自那時(shí)以來，該威脅者一直很活躍，自我們首次報(bào)告以來已發(fā)動(dòng)了多次攻擊。

我們發(fā)現(xiàn)了神秘大象在最近的攻擊中開發(fā)和使用的大量新惡意軟件家族，以及最近創(chuàng)建的基礎(chǔ)設(shè)施和更新的工具——主要是后門和加載程序，以最大限度地減少攻擊早期階段的檢測(cè)。在我們的報(bào)告中，我們描述了該威脅者發(fā)起的最新攻擊，并分析了新發(fā)現(xiàn)的惡意軟件樣本和相關(guān)基礎(chǔ)設(shè)施。

黑客行動(dòng)主義

隨著2022年2月俄烏沖突的爆發(fā)，雙方出現(xiàn)了數(shù)百個(gè)不同的黑客組織。其中一個(gè)組織是-=Twelve=-。該組織在信息領(lǐng)域宣稱自己已經(jīng)入侵了俄羅斯聯(lián)邦的各個(gè)政府和工業(yè)企業(yè)。其中一些目標(biāo)已在該組織自己平臺(tái)上的官方頻道上發(fā)布，而其他目標(biāo)則仍處于暗中。

雖然互聯(lián)網(wǎng)上有來自各種CTI（網(wǎng)絡(luò)威脅情報(bào)）供應(yīng)商的關(guān)于Twelve組織的多份報(bào)告，試圖描述該組織的活動(dòng)，但我們沒有看到任何詳細(xì)介紹攻擊中使用的工具和技術(shù)的報(bào)告。我們關(guān)于Twelve的報(bào)告詳細(xì)概述了該組織使用的TTP以及與其基礎(chǔ)設(shè)施的連接。

今年2月，阿爾巴尼亞地理統(tǒng)計(jì)研究所(INSTAT)遭到攻擊。這次攻擊是國土正義組織所為，該組織自稱是一個(gè)黑客行動(dòng)主義組織，但被懷疑是受政府支持的組織。三年多來，該組織一直在無情地攻擊阿爾巴尼亞目標(biāo)，尤其是政府部門。攻擊者能夠獲取超過100TB的數(shù)據(jù)，并破壞組織的官方網(wǎng)站和電子郵件服務(wù)，并清除數(shù)據(jù)庫服務(wù)器和備份。

襲擊的主要原因之一是阿爾巴尼亞境內(nèi)有圣戰(zhàn)者組織(MEK)難民營：國土正義組織認(rèn)為該組織是恐怖組織，并認(rèn)為阿爾巴尼亞政府的特定部門和某些公司為他們提供支持和資金。

威脅者持續(xù)進(jìn)行網(wǎng)絡(luò)行動(dòng)，旨在傳達(dá)其反MEK的政治信息。他們?cè)噲D在阿爾巴尼亞人民中獲得支持，讓政府放棄MEK——他們的行動(dòng)屬于所謂的心理戰(zhàn)(PsyOps)活動(dòng)。

我們分析了該組織的活動(dòng)歷史，該組織近三年來一直在進(jìn)行網(wǎng)絡(luò)攻擊，旨在對(duì)阿爾巴尼亞政府和民眾施加長期壓力。在報(bào)告中，我們介紹了該組織的主要活動(dòng)，包括與具有相同目標(biāo)的盟友組織合作的復(fù)雜行動(dòng)，以及機(jī)會(huì)性攻擊。

還描述了該組織使用的主要技術(shù)，包括利用面向互聯(lián)網(wǎng)的服務(wù)器進(jìn)行初始訪問、橫向移動(dòng)活動(dòng)、擴(kuò)大攻擊面，以及在網(wǎng)絡(luò)行動(dòng)的最后破壞階段使用自定義擦除惡意軟件和勒索軟件。此外，我們還研究了該組織的說服機(jī)制，例如通過社交網(wǎng)絡(luò)和新聞媒體擴(kuò)大消息范圍、分享被盜數(shù)據(jù)以獲得惡名并倡導(dǎo)變革，以及不斷威脅未來發(fā)動(dòng)攻擊以使其目標(biāo)保持永久警惕狀態(tài)。

其他發(fā)現(xiàn)

安全研究人員在東非的一個(gè)系統(tǒng)上發(fā)現(xiàn)了一個(gè)新的模塊化惡意軟件框架，我們將其命名為“Aniseed Vodka”：該系統(tǒng)于2018年被感染。該框架由一個(gè)主模塊、一個(gè)JSON格式的配置文件和一組插件組成。

該框架具有高度可配置性，允許其操作員指定插件的操作參數(shù)，并按特定間隔安排插件任務(wù)（例如屏幕捕獲、網(wǎng)絡(luò)攝像頭捕獲和數(shù)據(jù)泄露）。該框架采用反檢測(cè)和反取證技術(shù)，使其能夠隱蔽地運(yùn)行。它使用非傳統(tǒng)通信渠道來逃避網(wǎng)絡(luò)檢測(cè)，使用Google Chat作為C2渠道，使用Gmail發(fā)送警報(bào)，使用Google Drive作為泄露渠道。據(jù)我們所知，我們?cè)趫?bào)告中介紹的框架并不為公眾所知。我們無法將此框架與現(xiàn)有的威脅者聯(lián)系起來。

我們之前關(guān)于DinodasRAT的報(bào)告顯示，Linux后門版本與Windows版本在功能上存在大量重疊，并且還具有其他特定于Linux的功能，例如通過systemd或SystemV實(shí)現(xiàn)持久性。

近幾個(gè)月來，我們收集了更多相關(guān)樣本，從而對(duì)Linux變體有了更深入的了解。有跡象表明，早在2021年，它就已在攻擊活動(dòng)中使用。

此前，ESET披露了一項(xiàng)正在進(jìn)行的APT活動(dòng)，該活動(dòng)使用了該威脅的Windows版本，該活動(dòng)名為“Operation Jacana”，該活動(dòng)之前被識(shí)別為XDealer。據(jù)Trend Micro描述，DinodasRAT也被用于最近的APT活動(dòng)，該活動(dòng)包括Windows和Linux版本。在我們關(guān)于DinodasRAT Linux變體的最新報(bào)告中，重點(diǎn)關(guān)注了與C2的網(wǎng)絡(luò)通信以及惡意軟件在受感染機(jī)器上執(zhí)行的操作，而不僅僅是建立持久性和等待C2命令。

2024年5月，我們發(fā)現(xiàn)了一個(gè)針對(duì)俄羅斯政府實(shí)體的新APT。CloudSorcerer惡意軟件是一種復(fù)雜的網(wǎng)絡(luò)間諜工具，用于通過Microsoft、Yandex和Dropbox云基礎(chǔ)設(shè)施進(jìn)行隱身監(jiān)控、數(shù)據(jù)收集和泄露。該惡意軟件使用云資源作為其C2服務(wù)器，通過使用身份驗(yàn)證令牌的API訪問它們。

此外，CloudSorcerer使用GitHub作為其初始C2服務(wù)器。CloudSorcerer的作案手法讓人想起了我們?cè)?023年報(bào)道過的CloudWizard APT。然而，惡意軟件代碼完全不同。我們認(rèn)為CloudSorcerer是一個(gè)新的威脅者，它采用了類似的方法與公共云服務(wù)進(jìn)行交互。

4月，我們發(fā)現(xiàn)了一項(xiàng)此前未知的活動(dòng)，該活動(dòng)使用Telemos后門針對(duì)俄羅斯的組織（包括政府部門）。該惡意軟件以ZIP文件的形式通過魚叉式網(wǎng)絡(luò)釣魚電子郵件發(fā)送，其中包含兩種類型的植入程序之一-帶有.SCR擴(kuò)展名的PE64可執(zhí)行文件或帶有.WSF擴(kuò)展名的Windows腳本文件。它們會(huì)植入并執(zhí)行具有后門功能的基于PowerShell的腳本。我們發(fā)現(xiàn)了與這些攻擊相關(guān)的幾個(gè)惡意樣本，并能夠恢復(fù)原始源代碼。

此威脅的主要目的是間諜活動(dòng)——從瀏覽器中收集數(shù)據(jù)，例如登錄憑據(jù)、cookie和瀏覽歷史記錄，以及從受影響系統(tǒng)上的可用驅(qū)動(dòng)器收集感興趣的文件。目前無法將該操作與已知的威脅者聯(lián)系起來。

寫在最后

雖然一些威脅者的TTP保持不變，例如嚴(yán)重依賴社會(huì)工程學(xué)進(jìn)入目標(biāo)組織或入侵個(gè)人設(shè)備，但其他威脅者已更新其工具集并擴(kuò)大其活動(dòng)范圍。我們定期的季度報(bào)告旨在重點(diǎn)介紹與APT團(tuán)體相關(guān)的最重要發(fā)展。

以下是在2024年第二季度看到的主要趨勢(shì)：

·本季度的重點(diǎn)亮點(diǎn)是集成到許多流行Linux發(fā)行版中的XZ壓縮實(shí)用程序的后門-特別是使用社會(huì)工程學(xué)來獲取對(duì)開發(fā)環(huán)境的持續(xù)訪問權(quán)限。

·本季度，我們發(fā)現(xiàn)APT活動(dòng)集中在歐洲、美洲、亞洲、中東和非洲，針對(duì)的是政府、軍事、電信和司法系統(tǒng)等多個(gè)領(lǐng)域。

·大多數(shù)APT活動(dòng)的目的是進(jìn)行網(wǎng)絡(luò)間諜活動(dòng)，盡管有些活動(dòng)是為了獲取經(jīng)濟(jì)利益。

·黑客攻擊也是本季度威脅形勢(shì)的一個(gè)特點(diǎn)。并非所有這些攻擊都集中在公開沖突地區(qū)，正如國土正義組織對(duì)阿爾巴尼亞實(shí)體的攻擊所示。

需要強(qiáng)調(diào)的是，報(bào)告是我們對(duì)威脅形勢(shì)的洞察的產(chǎn)物。然而，重要的是要記住，雖然我們?cè)诓粩喔倪M(jìn)，但總有可能存在其他可能被忽視的復(fù)雜攻擊。

值得一提的是，當(dāng)提到APT組織使用俄語、或其他語言時(shí)，我們指的是這些組織使用的各種工具（例如惡意軟件調(diào)試字符串、腳本中的注釋等）中包含這些語言的單詞，這些工具是基于我們直接獲得的信息或以其他方式公開和廣泛報(bào)道的信息。使用某些語言并不一定表示特定的地理關(guān)系，而是指向這些APT工具背后的開發(fā)人員使用的語言。