本文來自微信公眾號“嘶吼專業(yè)版”,作者/胡金魚。
六年來,卡巴斯基全球研究與分析團(tuán)隊(duì)GReAT一直在分享有關(guān)高級持續(xù)性威脅(APT)的季度更新。
這些摘要基于威脅情報研究,為我們在私人APT報告中發(fā)布和討論更詳細(xì)的內(nèi)容提供了代表性概述。在最新一期中,將重點(diǎn)關(guān)注在2024年第二季度觀察到的活動。
最新發(fā)現(xiàn)
3月,人們在XZ中發(fā)現(xiàn)了一個后門,XZ是一個集成在許多流行的Linux發(fā)行版中的壓縮實(shí)用程序。OpenSSH服務(wù)器進(jìn)程sshd使用后門庫liblzma。OpenSSH已修補(bǔ)以使用許多基于systemd的發(fā)行版(包括Ubuntu、Debian和RedHat/Fedora Linux)上的systemd功能,因此依賴于此庫(Arch Linux和Gentoo不受影響)。
該代碼是在2024年2月和3月插入的,主要由Jia Cheong Tan(可能是虛構(gòu)身份)插入。
攻擊的可能目標(biāo)是通過針對XZ構(gòu)建過程將獨(dú)占的遠(yuǎn)程代碼執(zhí)行功能引入sshd進(jìn)程,然后將后門代碼推送到主要的Linux發(fā)行版,作為大規(guī)模供應(yīng)鏈攻擊的一部分。攻擊者使用社會工程學(xué)來獲得對源代碼/開發(fā)環(huán)境的長期訪問權(quán)限,并通過偽造明顯的人類交互來擴(kuò)展該訪問權(quán)限,以建立引入惡意代碼的可信度。
liblzma庫中的后門是在兩個層面引入的。生成最終軟件包的構(gòu)建基礎(chǔ)架構(gòu)的源代碼經(jīng)過了輕微調(diào)整(通過添加一個額外的文件build-to-host.m4),以提取隱藏在測試用例文件(bad-3-corrupt_lzma2.xz)中的下一階段腳本。
然后,該腳本從另一個測試用例文件(good-large_compressed.lzma)中提取了一個惡意二進(jìn)制組件,該文件在編譯過程中與合法庫鏈接,并被發(fā)送到Linux存儲庫。
一些大型供應(yīng)商最終在測試版和實(shí)驗(yàn)版中發(fā)布了惡意組件,卻沒有意識到這一點(diǎn)。XZ Utils的入侵被賦予了標(biāo)識符CVE-2024-3094,最高嚴(yán)重性評分為10。
攻擊者的最初目標(biāo)是成功掛鉤與RSA密鑰操作相關(guān)的函數(shù)之一。在對掛鉤過程的分析中,我們重點(diǎn)關(guān)注了后門在OpenSSH中的行為,特別是OpenSSH便攜版本9.7p1(最新版本)。我們的分析揭示了有關(guān)后門功能的許多有趣細(xì)節(jié)。
·攻擊者設(shè)置了防重放功能,以確保后門通信不會被捕獲或劫持。
·作者使用自定義隱寫技術(shù)將后門解密的公鑰隱藏在x86代碼中。
·后門掛鉤日志記錄功能,以隱藏其對SSH服務(wù)器的未經(jīng)授權(quán)連接的日志。
·該后門鉤住了密碼認(rèn)證功能,使得攻擊者可以使用任意用戶名/密碼登錄受感染的服務(wù)器,而無需進(jìn)行任何進(jìn)一步的檢查。對于公鑰認(rèn)證,它也做同樣的事情。
·該后門具有遠(yuǎn)程代碼執(zhí)行功能,這意味著攻擊者可以在受感染的服務(wù)器上運(yùn)行任何系統(tǒng)命令。
PcExter
在之前關(guān)于ToddyCat的報告中,我們描述了用于收集和泄露此APT威脅者感興趣的文件的各種工具。其中一種工具是PcExter,它最初僅用于泄露以前借助其他工具(例如FileScan)收集的數(shù)據(jù)。然而,我們最近發(fā)現(xiàn)了一個新版本PcExter 2.0,它已完全重新設(shè)計并用.NET重寫,能夠收集數(shù)據(jù)本身,并使用改進(jìn)的文件搜索機(jī)制。我們發(fā)現(xiàn)了此工具的幾個版本以及一組特殊的加載器。
2021年,我們發(fā)布了一份私人報告,描述了QSC的技術(shù)細(xì)節(jié),QSC是一個在調(diào)查針對南亞電信行業(yè)的攻擊時發(fā)現(xiàn)的框架。
雖然我們的研究沒有揭示該框架是如何部署的,也沒有揭示其背后的威脅組織,但我們繼續(xù)監(jiān)控我們的遙測數(shù)據(jù),以進(jìn)一步檢測QSC框架。2023年10月,我們在西亞地區(qū)多次檢測到針對ISP的QSC框架文件。調(diào)查顯示,目標(biāo)機(jī)器自2022年以來就已感染了Quarian后門版本3(又名Turian),并且相同的攻擊者從2023年10月10日開始使用此訪問權(quán)限部署QSC框架。除了QSC框架之外,攻擊者還部署了一個用Golang編寫的新后門,我們將其命名為“GoClient”,且在2023年10月17日首次看到了此GoClient后門的部署。在分析了此活動中的所有工件后,我們中等程度地評估CloudComputating威脅分子是QSC框架和GoClient后門部署的幕后黑手。
2023年初,當(dāng)該威脅者使用受監(jiān)控的惡意IIS模塊Owowa的修改版本時,發(fā)現(xiàn)了GOFFEE的活動。從那時起,GOFFEE停止使用Owowa以及PowerShell RCE植入物VisualTaskel;然而,它繼續(xù)利用威脅分子之前基于HTA的感染鏈PowerTaskel進(jìn)行入侵,并在其武器庫中添加了一個偽裝成合法文檔并通過電子郵件分發(fā)的新加載程序。
我們最近發(fā)現(xiàn)了一種新的遠(yuǎn)程訪問工具(RAT),檢測率較低,名為SalmonQT。引起我們注意的是,該樣本使用GitHub的REST API接受指令和上傳數(shù)據(jù),從而充當(dāng)C2(命令和控制)服務(wù)器。
乍一看,GitHub存儲庫的路徑似乎已被刪除,但仔細(xì)檢查后發(fā)現(xiàn),存儲庫已設(shè)置為私有,并且只有使用正確的令牌才能訪問REST API。
中東
Gaza Cybergang至少從2012年開始活躍,主要針對中東和北非。
當(dāng)我們首次開始跟蹤該組織時,其攻擊性質(zhì)相對簡單,通常依賴于公開可用的惡意軟件家族,例如QuasarRAT。盡管如此,該組織仍展示了我們至今仍能看到的特定TTP–每次活動僅針對少數(shù)目標(biāo)。
今年年初,我們發(fā)現(xiàn)了幾起涉及Gaza Cybergang的案例,威脅者對其TTP進(jìn)行了輕微調(diào)整。該組織不再使用tabcal.exe作為側(cè)載其初始訪問下載程序IronWind的工具,而是改用另一個合法的Windows Media Utility文件setup_wm.exe。誘餌也更改為更通用的主題,而不是專注于特定的地緣政治局勢。
東南亞及朝鮮半島
2023年,我們在調(diào)查使用一組惡意軟件家族的攻擊時發(fā)現(xiàn)了神秘大象,這些惡意軟件家族之前與其他已知威脅者(如SideWinder和Confucius)有關(guān)。
在分析基礎(chǔ)設(shè)施時,我們意識到這些攻擊實(shí)際上不是由任何先前已知的威脅者發(fā)起的,而是由我們稱為神秘大象的新威脅者發(fā)起的。自那時以來,該威脅者一直很活躍,自我們首次報告以來已發(fā)動了多次攻擊。
我們發(fā)現(xiàn)了神秘大象在最近的攻擊中開發(fā)和使用的大量新惡意軟件家族,以及最近創(chuàng)建的基礎(chǔ)設(shè)施和更新的工具——主要是后門和加載程序,以最大限度地減少攻擊早期階段的檢測。在我們的報告中,我們描述了該威脅者發(fā)起的最新攻擊,并分析了新發(fā)現(xiàn)的惡意軟件樣本和相關(guān)基礎(chǔ)設(shè)施。
黑客行動主義
隨著2022年2月俄烏沖突的爆發(fā),雙方出現(xiàn)了數(shù)百個不同的黑客組織。其中一個組織是-=Twelve=-。該組織在信息領(lǐng)域宣稱自己已經(jīng)入侵了俄羅斯聯(lián)邦的各個政府和工業(yè)企業(yè)。其中一些目標(biāo)已在該組織自己平臺上的官方頻道上發(fā)布,而其他目標(biāo)則仍處于暗中。
雖然互聯(lián)網(wǎng)上有來自各種CTI(網(wǎng)絡(luò)威脅情報)供應(yīng)商的關(guān)于Twelve組織的多份報告,試圖描述該組織的活動,但我們沒有看到任何詳細(xì)介紹攻擊中使用的工具和技術(shù)的報告。我們關(guān)于Twelve的報告詳細(xì)概述了該組織使用的TTP以及與其基礎(chǔ)設(shè)施的連接。
今年2月,阿爾巴尼亞地理統(tǒng)計研究所(INSTAT)遭到攻擊。這次攻擊是國土正義組織所為,該組織自稱是一個黑客行動主義組織,但被懷疑是受政府支持的組織。三年多來,該組織一直在無情地攻擊阿爾巴尼亞目標(biāo),尤其是政府部門。攻擊者能夠獲取超過100TB的數(shù)據(jù),并破壞組織的官方網(wǎng)站和電子郵件服務(wù),并清除數(shù)據(jù)庫服務(wù)器和備份。
襲擊的主要原因之一是阿爾巴尼亞境內(nèi)有圣戰(zhàn)者組織(MEK)難民營:國土正義組織認(rèn)為該組織是恐怖組織,并認(rèn)為阿爾巴尼亞政府的特定部門和某些公司為他們提供支持和資金。
威脅者持續(xù)進(jìn)行網(wǎng)絡(luò)行動,旨在傳達(dá)其反MEK的政治信息。他們試圖在阿爾巴尼亞人民中獲得支持,讓政府放棄MEK——他們的行動屬于所謂的心理戰(zhàn)(PsyOps)活動。
我們分析了該組織的活動歷史,該組織近三年來一直在進(jìn)行網(wǎng)絡(luò)攻擊,旨在對阿爾巴尼亞政府和民眾施加長期壓力。在報告中,我們介紹了該組織的主要活動,包括與具有相同目標(biāo)的盟友組織合作的復(fù)雜行動,以及機(jī)會性攻擊。
還描述了該組織使用的主要技術(shù),包括利用面向互聯(lián)網(wǎng)的服務(wù)器進(jìn)行初始訪問、橫向移動活動、擴(kuò)大攻擊面,以及在網(wǎng)絡(luò)行動的最后破壞階段使用自定義擦除惡意軟件和勒索軟件。此外,我們還研究了該組織的說服機(jī)制,例如通過社交網(wǎng)絡(luò)和新聞媒體擴(kuò)大消息范圍、分享被盜數(shù)據(jù)以獲得惡名并倡導(dǎo)變革,以及不斷威脅未來發(fā)動攻擊以使其目標(biāo)保持永久警惕狀態(tài)。
其他發(fā)現(xiàn)
安全研究人員在東非的一個系統(tǒng)上發(fā)現(xiàn)了一個新的模塊化惡意軟件框架,我們將其命名為“Aniseed Vodka”:該系統(tǒng)于2018年被感染。該框架由一個主模塊、一個JSON格式的配置文件和一組插件組成。
該框架具有高度可配置性,允許其操作員指定插件的操作參數(shù),并按特定間隔安排插件任務(wù)(例如屏幕捕獲、網(wǎng)絡(luò)攝像頭捕獲和數(shù)據(jù)泄露)。該框架采用反檢測和反取證技術(shù),使其能夠隱蔽地運(yùn)行。它使用非傳統(tǒng)通信渠道來逃避網(wǎng)絡(luò)檢測,使用Google Chat作為C2渠道,使用Gmail發(fā)送警報,使用Google Drive作為泄露渠道。據(jù)我們所知,我們在報告中介紹的框架并不為公眾所知。我們無法將此框架與現(xiàn)有的威脅者聯(lián)系起來。
我們之前關(guān)于DinodasRAT的報告顯示,Linux后門版本與Windows版本在功能上存在大量重疊,并且還具有其他特定于Linux的功能,例如通過systemd或SystemV實(shí)現(xiàn)持久性。
近幾個月來,我們收集了更多相關(guān)樣本,從而對Linux變體有了更深入的了解。有跡象表明,早在2021年,它就已在攻擊活動中使用。
此前,ESET披露了一項(xiàng)正在進(jìn)行的APT活動,該活動使用了該威脅的Windows版本,該活動名為“Operation Jacana”,該活動之前被識別為XDealer。據(jù)Trend Micro描述,DinodasRAT也被用于最近的APT活動,該活動包括Windows和Linux版本。在我們關(guān)于DinodasRAT Linux變體的最新報告中,重點(diǎn)關(guān)注了與C2的網(wǎng)絡(luò)通信以及惡意軟件在受感染機(jī)器上執(zhí)行的操作,而不僅僅是建立持久性和等待C2命令。
2024年5月,我們發(fā)現(xiàn)了一個針對俄羅斯政府實(shí)體的新APT。CloudSorcerer惡意軟件是一種復(fù)雜的網(wǎng)絡(luò)間諜工具,用于通過Microsoft、Yandex和Dropbox云基礎(chǔ)設(shè)施進(jìn)行隱身監(jiān)控、數(shù)據(jù)收集和泄露。該惡意軟件使用云資源作為其C2服務(wù)器,通過使用身份驗(yàn)證令牌的API訪問它們。
此外,CloudSorcerer使用GitHub作為其初始C2服務(wù)器。CloudSorcerer的作案手法讓人想起了我們在2023年報道過的CloudWizard APT。然而,惡意軟件代碼完全不同。我們認(rèn)為CloudSorcerer是一個新的威脅者,它采用了類似的方法與公共云服務(wù)進(jìn)行交互。
4月,我們發(fā)現(xiàn)了一項(xiàng)此前未知的活動,該活動使用Telemos后門針對俄羅斯的組織(包括政府部門)。該惡意軟件以ZIP文件的形式通過魚叉式網(wǎng)絡(luò)釣魚電子郵件發(fā)送,其中包含兩種類型的植入程序之一-帶有.SCR擴(kuò)展名的PE64可執(zhí)行文件或帶有.WSF擴(kuò)展名的Windows腳本文件。它們會植入并執(zhí)行具有后門功能的基于PowerShell的腳本。我們發(fā)現(xiàn)了與這些攻擊相關(guān)的幾個惡意樣本,并能夠恢復(fù)原始源代碼。
此威脅的主要目的是間諜活動——從瀏覽器中收集數(shù)據(jù),例如登錄憑據(jù)、cookie和瀏覽歷史記錄,以及從受影響系統(tǒng)上的可用驅(qū)動器收集感興趣的文件。目前無法將該操作與已知的威脅者聯(lián)系起來。
寫在最后
雖然一些威脅者的TTP保持不變,例如嚴(yán)重依賴社會工程學(xué)進(jìn)入目標(biāo)組織或入侵個人設(shè)備,但其他威脅者已更新其工具集并擴(kuò)大其活動范圍。我們定期的季度報告旨在重點(diǎn)介紹與APT團(tuán)體相關(guān)的最重要發(fā)展。
以下是在2024年第二季度看到的主要趨勢:
·本季度的重點(diǎn)亮點(diǎn)是集成到許多流行Linux發(fā)行版中的XZ壓縮實(shí)用程序的后門-特別是使用社會工程學(xué)來獲取對開發(fā)環(huán)境的持續(xù)訪問權(quán)限。
·本季度,我們發(fā)現(xiàn)APT活動集中在歐洲、美洲、亞洲、中東和非洲,針對的是政府、軍事、電信和司法系統(tǒng)等多個領(lǐng)域。
·大多數(shù)APT活動的目的是進(jìn)行網(wǎng)絡(luò)間諜活動,盡管有些活動是為了獲取經(jīng)濟(jì)利益。
·黑客攻擊也是本季度威脅形勢的一個特點(diǎn)。并非所有這些攻擊都集中在公開沖突地區(qū),正如國土正義組織對阿爾巴尼亞實(shí)體的攻擊所示。
需要強(qiáng)調(diào)的是,報告是我們對威脅形勢的洞察的產(chǎn)物。然而,重要的是要記住,雖然我們在不斷改進(jìn),但總有可能存在其他可能被忽視的復(fù)雜攻擊。
值得一提的是,當(dāng)提到APT組織使用俄語、或其他語言時,我們指的是這些組織使用的各種工具(例如惡意軟件調(diào)試字符串、腳本中的注釋等)中包含這些語言的單詞,這些工具是基于我們直接獲得的信息或以其他方式公開和廣泛報道的信息。使用某些語言并不一定表示特定的地理關(guān)系,而是指向這些APT工具背后的開發(fā)人員使用的語言。