中東地區的APT攻擊情況

　　Lyceum 是一個攻擊組織，至少自 2018 年以來一直在針對中東的知名目標發起攻擊。今年，研究人員發現了該組織針對突尼斯航空和電信部門的攻擊活動。他們發現，攻擊者在開發兩個新的基于 C++ 的惡意軟件植入時表現的更加有活力其攻擊速度快捷，研究人員將它們命名為 Kevin 和 James。兩者都依賴于該組織使用的舊惡意軟件的技術和通信協議，并開發了 DanBot。在研究人員對這一活動的報告以及針對該組織新發現的植入程序的相應保護部署之后，研究人員觀察到攻擊者反復嘗試部署他們之前的報告中未指定的新樣本。其中一些樣本表明，攻擊者還利用了兩個新的 C2 域，這可能是為了繞過安全機制，從而緩解與已知域的通信。這種體現了該組織堅持攻擊目標組織，并表明它在被發現后并沒有停止運作的事實，這一事實可以通過該組織最近公開曝光的另一組活動得到認證。你可以在“Lyceum group reborn”文章中詳細了解研究人員的發現。

　　東南亞及朝鮮半島的APT攻擊情況

　　6 月，研究人員觀察到 Lazarus 組織使用 MATA 惡意軟件框架攻擊國防企業。從歷史上看，Lazarus 使用 MATA 攻擊各個行業，以實現類似網絡犯罪的意圖：竊取客戶數據庫和傳播勒索軟件。然而，在該案例中，研究人員看到 Lazarus 使用 MATA 進行網絡間諜活動。攻擊者提供了一個已知被他們選擇的受害者使用的應用程序的木馬化版本，代表了 Lazarus 的已知特征。執行此應用程序會啟動一個從下載程序開始的多階段感染鏈。該下載程序從受感染的 C2 服務器中獲取額外的惡意軟件。研究人員能夠獲得多個 MATA 組件，包括插件。與之前的版本相比，此次活動中發現的 MATA 惡意軟件已經迭代了多次，并使用盜竊的合法證書對其某些組件進行簽名。通過這項研究，研究人員發現 MATA 和 Lazarus 組織之間的聯系更緊密，包括獲取MATA惡意軟件的下載程序顯示了與TangoDaiwbo的聯系，而研究人員之前認為TangoDaiwbo是Lazarus組織開發的。

　　研究人員還發現了使用更新的 DeathNote 集群的 Lazarus 團體活動。第一次涉及 6 月份對一家韓國智庫的攻擊。第二次是 5 月份對 IT 資產監控解決方案供應商的攻擊。研究人員的調查揭示了指向 Lazarus 建立供應鏈攻擊能力的跡象。在一個案例中，研究人員發現感染鏈源于合法的韓國安全軟件執行惡意載荷；在第二個案例中，攻擊目標是一家在拉脫維亞開發資產監控解決方案的公司，該公司是 Lazarus 的非典型受害者。DeathNote 惡意軟件集群包含一個稍微更新的 BLINDINGCAN 變體，這是美國 CISA（網絡安全和基礎設施安全局）先前報告的惡意軟件。BLINDINGCAN 還被用于提供 COPPERHEDGE 的新變體，CISA 文章中也有報道。研究人員之前曾在 2020 年 1 月報告了對 COPPERHEDGE 的初步發現。作為感染鏈的一部分，Lazarus 使用了一個名為 Racket 的下載程序，他們使用竊取的證書簽名。由于使用本地 CERT 接管了攻擊者的基礎設施，研究人員有機會研究與 DeathNote 集群相關的幾個 C2 腳本。該攻擊者破壞了易受攻擊的 Web 服務器并上傳了幾個腳本來過濾和控制成功入侵的受害者設備上的惡意植入。

　　Kimsuky 組織是目前最活躍的 APT 組織之一，攻擊者以專注于網絡間諜活動而聞名，但偶爾會為了經濟利益而進行網絡攻擊。與其他 APT 組織一樣，Kimsuky 包含幾個集群：BabyShark、AppleSeed、FlowerPower 和 GoldDragon。

　　每個集群使用不同的方法并具有不同的特征：

　　?BabyShark 在 C2 操作中嚴重依賴腳本化惡意軟件和受感染的 Web 服務器；

　　?AppleSeed 使用名為 AppleSeed 的獨特后門；

　　?FlowerPower 使用 PowerShell 腳本和惡意的 Microsoft Office 文檔；

　　?GoldDragon 是最古老的集群，最接近原始的 Kimsuky 惡意軟件。

　　然而，這些集群也顯示出一些重疊。特別是，GoldDragon 和 FlowerPower 在其 C2 基礎設施中共享強大的連接。但是，其他集群也與 C2 基礎設施有少量連接，這說明BabyShark 和 AppleSeed 的運營策略不同。

　　早在 5 月，研究人員就發表了一份關于新發現的Andariel活動的報告。在此活動中，位于韓國的眾多企業都成為自定義勒索軟件的目標。在研究人員的研究中，研究人員發現攻擊者使用兩個向量來破壞目標。第一個是使用帶有惡意宏的武器化 Microsoft Office 文檔。在研究人員最初報告時，第二個向量仍然未知，但研究人員發現了包含工具 ezPDF Reader 路徑的工件，該工具由一家名為 Unidocs 的韓國軟件公司開發。由于研究人員缺少明確的證據表明攻擊利用了該軟件中的漏洞，為了解決這個問題，研究人員決定審核該應用程序的二進制文件。研究人員對該軟件的分析使研究人員發現了 ezpdfwslauncher.exe 中的一個遠程代碼執行漏洞，可以利用該漏洞在沒有任何用戶交互的情況下，利用ezpdfwslauncher.exe入侵網絡上的計算機。研究人員非常自信地評估 Andariel 組織在其攻擊中使用了相同的漏洞。在此發現后，研究人員聯系了 Unidocs 的開發人員，并與他們分享了此漏洞的詳細信息。目前，該漏洞已經被命名為 CVE-2021-26605，并進行了修復。

　　本季度，研究人員描述了與 Origami Elephant 攻擊者（又名 DoNot 團隊，APT-C-35，SECTOR02）相關的活動，這些活動從 2020 年初一直持續到今年。雖然Origami Elephant 繼續利用已知的 Backconfig（又名 Agent K1）和 Simple Uploader 組件，但研究人員也發現了名為 VTYREI（又名 BREEZESUGAR）的鮮為人知的惡意軟件用作第一階段的有效載荷。此外，研究人員觀察到了一種獨特的技術，可以對惡意文檔中使用的遠程模板進行編碼，目前他們還沒有看到其他攻擊者使用過這種技術。攻擊者繼續關注南亞地區，對主要位于巴基斯坦、孟加拉國、尼泊爾和斯里蘭卡的政府和軍事對象。

　　研究人員還跟蹤了從 2020 年底到報告發布期間針對 Android 手機的 Origami Elephant 活動。研究人員發現基礎設施仍然處于活躍狀態，與之前報告的相同惡意軟件進行通信，盡管在代碼混淆方面有一些變化。目標與去年相同，受害者位于南亞地區：尤其是印度、巴基斯坦和斯里蘭卡。與去年的攻擊活動相比，攻擊者修改了感染鏈。研究人員觀察到 Android木馬是直接傳播的，而不是提供下載程序 stager。這是通過指向惡意登錄頁面的鏈接或通過某些即時消息平臺（例如 WhatsApp）直接發送消息來完成的。研究人員分析的樣本模仿了各種應用程序，例如私人消息傳遞、VPN 和媒體服務。研究人員的報告涵蓋了 Origami Elephant 針對 Android 設備的活動的當前狀態，并提供了與最新和歷史活動相關的額外 IoC。使用研究人員之前研究中的可用線索掃描互聯網，研究人員能夠發現新部署的主機，在某些情況下甚至在它們變得活躍之前。

　　其他有趣的發現

　　9 月，研究人員提供了 FinSpy PC 植入程序的概述。這不僅包括Windows版本，也包括Linux和macOS版本，它們共享相同的內部結構和功能。FinSpy是一種臭名昭著的監視工具，一些非政府組織多次報告說它被用來對付記者、政治異議人士和人權活動家。歷史上，它的 Windows 植入是由單階段間諜軟件安裝程序表示的。直到 2018 年，此版本已被多次檢測和研究。從那時起，研究人員觀察到 FinSpy for Windows 的檢測率下降。雖然這種異常的性質仍然未知，但研究人員開始檢測一些帶有 Metasploit stagers 后門的可疑安裝程序包。直到 2019 年年中，當研究人員在適用于 Android 的 FinSpy Mobile 植入程序中找到為這些安裝程序提供服務的主機時，研究人員才能夠確定這些軟件包的屬性。在研究人員的調查過程中，他們發現后門安裝程序只不過是第一階段的植入程序，用于在實際的 FinSpy 特洛伊木馬之前下載和部署更多有效載荷。除了木馬安裝程序之外，研究人員還觀察到涉及使用 UEFI 或 MBR bootkit的感染。雖然 MBR 感染至少在 2014 年就已為人所知，但 UEFI bootkit 的詳細信息僅在研究人員的文章中首次被公開披露。在此分享一些關于 FinSpy 植入程序實際狀態的未知發現。

　　在第三季度末，研究人員發現了一個以前未知的具有高級功能的有效載荷，它使用兩個感染鏈向中東的各種政府組織和電信公司傳播。有效載荷使用 Windows 內核模式 rootkit 來促進其某些活動，并且能夠通過 MBR 或 UEFI bootkit進行持久部署。有趣的是，在這次攻擊中觀察到的一些組件以前曾多次由Slingshot代理在內存中部署，其中 Slingshot 是研究人員過去在幾個案例中介紹過的后開發框架（不要與“Slingshot”APT混淆）。它是一個專有的商業滲透測試工具。然而，這并不是攻擊者第一次利用它。研究人員之前在 2019 年發布的一份關于 FruityArmor 活動的報告顯示，攻擊組織利用它來針對中東多個行業的組織，可能是利用 Skype 中的漏洞作為感染媒介。在最近的一份報告中，研究人員對新發現的惡意工具包進行了深入分析，該工具包是研究人員與 Slingshot 一起觀察到的，以及它如何在野外活動集群中被利用，研究人員還特別介紹了一些高級功能。

　　總結

　　雖然一些攻擊者的 TTP 會在短時間內保持一致，嚴重依賴社會工程作為在目標組織中立足或破壞個人設備的一種手段，但其他人則更新了他們的工具集并擴展了他們的活動范圍。

　　以下是研究人員在 2021 年第三季度看到的主要趨勢：

　　1.供應鏈攻擊繼續存在，包括 SmudgeX、DarkHalo 和 Lazarus 的攻擊。

　　2.在本季度，研究人員專注于研究和防護他們檢測到的惡意活動后的監視框架。其中包括 FinSpy 以及使用稱為 Slingshot 的商業后開發框架上演的高級且功能強大的有效載荷。這些工具包含強大的隱蔽功能，例如使用bootkit進行持久化。Bootkit 仍然是一些備受矚目的 APT 攻擊的活躍組件，盡管微軟已經添加了各種緩解措施，使它們在 Windows 操作系統上部署起來更加容易。

　　3.社會工程學仍然是發起攻擊的關鍵方法，；還有漏洞利用（CloudComputating、Origami Elephant、Andariel），包括利用固件漏洞。

　　4.正如各種攻擊者（包括 Gamaredon、CloudComputating、ExCone、Origami Elephant、ReconHellcat、SharpPanda）的活動所表明的那樣，地緣政治繼續推動 APT 的發展。