近年來，卡巴斯基全球研究與分析團隊（GReAT） 一直定期發布高級持續威脅 （APT） 趨勢報告。限于篇幅，我們優先編譯了2021年第三季度報告的部分重要內容以饗讀者。欲了解該報告全文，請按照文末提示方式獲取。摘編原文如下：

　　最顯著的發現

　　2020年12月被廣為報道的SolarWinds事件之所以備受關注，是因為攻擊者極其謹慎，而且受害者的身份引人矚目。有證據表明，發動攻擊的威脅組織DarkHalo（又名 Nobelium）已經在OrionIT的網絡中潛伏了6個月時間來完善他們的攻擊。今年6月，在DarkHalo停止活動6個多月后，卡巴斯基觀察到一個獨聯體成員國的多個政府區域遭到DNS劫持，這使得攻擊者能夠將流量從政府郵件服務器重定向到他們控制的計算機---很可能是通過獲得受害者登記員控制面板的憑證來實現的。當受害者試圖訪問他們的公司郵件時，會被重定向到一個偽造的網絡界面副本。之后，受害者被誘騙下載了以前未知的惡意軟件。這個后門被稱為Tomiris，與DarkHalo去年使用的第二階段惡意軟件SunShuft（又名GoldMax）有許多相似之處。不過，Tomiris和Kazuar后門程序之間也存在許多相似之處，這是一個與Turla APT威脅組織相關聯的后門。上述這些相似之處并不足以說明Tomiris和Sunshuttle后門程序之間有高度關聯性，但是綜合來看，這兩個后門程序或許有共同的開發者，或者共享開發代碼。

　　俄語地區APT攻擊趨勢分析

　　本季度，研究人員發現了幾個典型的Gamaredon 惡意感染文件、dropper和植入程序，這表明針對烏克蘭政府的惡意活動或許正在進行，甚至可能從今年5月份開始惡意活動就很活躍。目前研究人員還無法準確識別相關的感染鏈，因為他們只能檢索到其中的一部分樣本，但這并不影響研究人員將其歸因于Gamaredon。本文詳細介紹了各種dropper以及解碼器腳本，以及對DStealer后門和研究人員觀察到的與該活動相關的大型基礎設施的分析。

　　ReconHellcat是一個之前鮮為人知的攻擊者，于2020年被發現并公布。其活動的第一個帳戶可以追溯到去年3月，MalwareHunterTeam發布的一條推文中介紹了包含與COVID相關的誘餌文件名的檔案，其中包含一個惡意的可執行文件。這個檔案中的惡意植入程序名為BlackWater。BlackWater反過來會釋放并打開一個誘餌文件，然后作為C2服務器聯系Cloudflare Workers，這是其他攻擊者在使用時通常不會使用的方法。自從首次發現這種攻擊方式以來，類似的TTP已被用作QuoIntelligence涵蓋的其他攻擊的一部分，這表明潛在攻擊者正在以有針對性的方式運作，同時追蹤與政府相關的知名目標。這種活動似乎一直持續到2021年，當時研究人員發現了一系列使用相同技術和惡意軟件的攻擊，其目的是在位于中亞的外交組織中潛伏下來。在撰寫的私人報告中，研究人員介紹了這項活動，重點關注攻擊者對感染鏈中的要素所做的各種變化，這可能是由于之前公開曝光其活動造成的。

　　從那時起，研究人員發現了由ReconHellcat操作的其他文件。今年8月到9月間出現了一個新的活動，其感染鏈不斷發展。Zscaler的研究人員也在一篇文章中介紹了這項活動。更新后的攻擊活動中引入的一些變化包括依賴 Microsoft Word模板（。dotm）來實現持久性，而不是以前使用的Microsoft Word加載項（。wll）。盡管如此，一些TTP保持不變，因為新的感染鏈仍然提供相同的最終植入程序---Blacksoul惡意軟件，并且仍然使用Cloudflare Workers作為C2服務器。ReconHellcat的目標是塔吉克斯坦、吉爾吉斯斯坦、巴基斯坦和土庫曼斯坦等中亞國家相關的政府組織和外交實體。此外，卡巴斯基的研究人員還確定了在前一波攻擊中沒有出現的兩個國家：阿富汗和烏茲別克斯坦。因此卡巴斯基判斷ReconHellcat可能是是使用俄語的威脅組織。

　　東南亞及朝鮮半島地區APT攻擊趨勢分析

　　今年6月，卡巴斯基觀察到Lazarus威脅組織使用MATA惡意軟件框架攻擊國防工業。過去，Lazarus曾經使用MATA攻擊各個行業以實現類似網絡犯罪的意圖：竊取客戶數據庫和傳播勒索軟件。然而，在此次事件中，卡巴斯基發現Lazarus使用MATA進行網絡間諜活動。攻擊者提供了一個已知被他們選中的受害者使用的應用程序的木馬化版本，這代表了Lazarus組織的已知特征。執行此應用程序會啟動一個從下載程序開始的多階段感染鏈。該下載器從受感染的C2服務器中獲取額外的惡意軟件。卡巴斯基曾獲取了多個MATA組件以及插件。在此活動中發現的MATA惡意軟件與以前的版本相比有所進化，并使用合法的被盜證書以簽署其某些組件。通過這項研究，卡巴斯基發現了MATA和Lazarus集團之間更緊密的聯系。

　　卡巴斯基還發現了使用更新后的DeathNote集群的Lazarus組織活動。這些活動涉及今年6月份對韓國智庫的襲擊，以及5月份對IT資產監控解決方案供應商的攻擊。卡巴斯基的調查顯示，有跡象表明Lazarus正在建立供應鏈攻擊能力。在第一個案例中，卡巴斯基發現感染鏈源于合法的韓國安全軟件執行惡意載荷；在第二個案例中，攻擊目標是一家在拉脫維亞開發資產監控解決方案的公司，該公司是Lazarus的非典型受害者。DeathNote惡意軟件集群包含一個部分更新的BLINDINGCAN變種，這是美國網絡安全和基礎設施安全局（CISA）先前報告過的惡意軟件。BLINDINGCAN還被用于分發COPPERHEDGE的新變種，這在CISA的一篇文章中也有提及?？ò退够霸?020年1月公布了其對COPPERHEDGE的初步發現。作為感染鏈的一部分，Lazarus使用了一個名為Racket的下載器，并使用竊取來的證書進行簽名。由于使用本地CERT接管攻擊者的基礎設施，卡巴斯基有機會研究與DeathNote集群相關的幾個C2腳本。該攻擊者破壞了易受攻擊的Web服務器并上傳了幾個腳本，用于過濾和控制被入侵的受害者機器上的惡意植入程序。

　　Kimsuky集團是目前最活躍的APT組織之一。該威脅組織以專注于網絡間諜活動而聞名，但偶爾也會進行網絡攻擊以獲取經濟利益。與其他APT組織采取“報團取暖”的方式一樣，Kimsuky也包含幾個集群：BabyShark、AppleSeed、FlowerPower和GoldDragon。

　　每個集群采取不同的攻擊手法并具有不同的特征：

　　BabyShark在C2操作中嚴重依賴腳本化惡意軟件和受感染的Web服務器；AppleSeed使用名為AppleSeed的獨特后門；FlowerPower使用PowerShell腳本和惡意的Microsoft Office文檔；GoldDragon是最古老的集群，最接近原始的Kimsuky惡意軟件。

　　但是，這些集群也顯示出一些重疊。特別是GoldDragon和FlowerPower在其C2基礎設施中共享緊密的連接。不過，其他集群也與C2基礎設施有部分連接。卡巴斯基評估認為BabyShark和AppleSeed的操作策略不同。

　　早在今年5月，卡巴斯基就發表了一份關于新發現的Andariel活動的報告。在該活動中，位于韓國的眾多行業都成為定制勒索軟件的目標?？ò退够芯堪l現攻擊者使用兩個載體來破壞目標。第一個是使用帶有惡意宏的武器化Microsoft Office文檔。在卡巴斯基最初發布研究報告時，第二個載體仍然未知，但卡巴斯基發現了包含工具ezPDF Reader路徑的工件，該工具由一家名為Unidocs的韓國軟件公司開發。卡巴斯基缺少明確的證據表明攻擊利用了該軟件中的漏洞，為了解決這個謎團，卡巴斯基決定審核該應用程序的二進制文件。通過對該軟件進行分析，卡巴斯基發現了ezpdfwslauncher.exe中的一個遠程代碼執行漏洞，該漏洞可以利用ezPDF Reader入侵網絡上的計算機，而無需任何用戶交互?？ò退够浅Ｗ孕诺卣J為Andariel組織在其攻擊中使用了相同的漏洞。在此發現后，卡巴斯基聯系了Unidocs的開發人員，并與他們分享了此漏洞的詳細信息。該漏洞被編號為CVE-2021-26605。

　　本季度，卡巴斯基介紹了與Origami Elephant威脅組織（又名DoNot組織，APT-C-35，SECTOR02）相關的活動，這些活動從2020年初一直持續到今年。Origami Elephant繼續利用已知的Backconfig（又名Agent K1）和Simple Uploader組件，但卡巴斯基也發現了名為VTYREI（又名 BREEZESUGAR）的鮮為人知的惡意軟件用作第一階段的有效負載。此外，卡巴斯基還發現了一種獨特的技術，利用這種技術可以對惡意文檔中使用的遠程模板進行編碼，在此之前卡巴斯基還沒有看到其他威脅組織使用過這種技術。該組織的目標與過去一致：繼續關注南亞地區，對主要位于巴基斯坦、孟加拉國、尼泊爾和斯里蘭卡的政府和軍事實體特別感興趣。

　　卡巴斯基還跟蹤了從2020年底至本報告發布時針對Android手機的Origami Elephan活動。之前卡巴斯基也對該活動進行了報告。卡巴斯基注意到，基礎設施仍然處于活動狀態，與卡巴斯基之前報告的相同惡意軟件進行通信，僅在代碼混淆方面有一些變化。攻擊目標與去年相同，受害者位于南亞地區，主要是印度、巴基斯坦和斯里蘭卡。與去年的攻擊活動相比，該攻擊者修改了感染鏈?？ò退够l現Android特洛伊木馬是直接分發的，而不是通過下載程序stager。這是通過指向惡意登錄頁面的鏈接或通過某些即時消息平臺（如WhatsApp）直接發送消息來完成的?？ò退够治龅臉颖灸M了各種應用程序，例如私密消息、VPN以及媒體服務?？ò退够膱蟾婧w了Origami Elephant針對Android設備活動的現狀，并提供了與最新和過去的活動相關的額外IoC。利用卡巴斯基之前的研究提供的線索掃描互聯網，能夠發現新部署的主機，在某些情況下，甚至在它們處于活躍狀態之前就能發現。

　　寫在文末

　　雖然一些威脅組織的TTP隨著時間的推移仍然保持一致，嚴重依賴社會工程學作為其在目標組織中潛伏下來或破壞個人設備的一種手段，但也有其他組織更新了他們的工具集并擴展了他們的活動范圍?？ò退够亩ㄆ诩径葘彶橹荚谕怀鯝PT組織的關鍵性發展變化。

　　以下是卡巴斯基在2021年第三季度發現的主要趨勢：

　?。ㄒ唬├^續發現供應鏈攻擊，包括SmudgeX、DarkHalo和Lazarus的攻擊。

　　（二）在本季度，卡巴斯基專注于研究和拆除其檢測到的惡意活動后的監視框架。其中包括FinSpy和使用商業post-exploitation框架Slingshot暫存的高級且功能強大的有效載荷。這些工具包含強大的隱蔽功能，例如使用Bootkits進行持久化。Bootkits仍然是一些備受矚目的APT攻擊的活躍組件，盡管微軟已經添加了各種緩解措施，使它們在Windows操作系統上的部署變得不那么容易。

　?。ㄈ┛ò退够^察到，本季度來自使用中文的威脅組織的活動異常激增，尤其是與年初相比。相比之下，卡巴斯基注意到，本季度中東的活動有所減少。

　?。ㄋ模┥鐣こ虒W仍然是發起攻擊的關鍵方法；但也有漏洞利用（CloudComputating、Origami Elephant、Andariel），包括利用固件漏洞。

　?。ㄎ澹└鞣N威脅組織（例如Gamaredon、CloudComputating、ExCone、Origami Elephant、ReconHellcat、SharpPanda）的活動表明，地緣政治繼續推動APT的發展。