中东地区的APT攻击情况

　　Lyceum 是一个攻击组织，至少自 2018 年以来一直在针对中东的知名目标发起攻击。今年，研究人员发现了该组织针对突尼斯航空和电信部门的攻击活动。他们发现，攻击者在开发两个新的基于 C++ 的恶意软件植入时表现的更加有活力其攻击速度快捷，研究人员将它们命名为 Kevin 和 James。两者都依赖于该组织使用的旧恶意软件的技术和通信协议，并开发了 DanBot。在研究人员对这一活动的报告以及针对该组织新发现的植入程序的相应保护部署之后，研究人员观察到攻击者反复尝试部署他们之前的报告中未指定的新样本。其中一些样本表明，攻击者还利用了两个新的 C2 域，这可能是为了绕过安全机制，从而缓解与已知域的通信。这种体现了该组织坚持攻击目标组织，并表明它在被发现后并没有停止运作的事实，这一事实可以通过该组织最近公开曝光的另一组活动得到认证。你可以在“Lyceum group reborn”文章中详细了解研究人员的发现。

　　东南亚及朝鲜半岛的APT攻击情况

　　6 月，研究人员观察到 Lazarus 组织使用 MATA 恶意软件框架攻击国防企业。从历史上看，Lazarus 使用 MATA 攻击各个行业，以实现类似网络犯罪的意图：窃取客户数据库和传播勒索软件。然而，在该案例中，研究人员看到 Lazarus 使用 MATA 进行网络间谍活动。攻击者提供了一个已知被他们选择的受害者使用的应用程序的木马化版本，代表了 Lazarus 的已知特征。执行此应用程序会启动一个从下载程序开始的多阶段感染链。该下载程序从受感染的 C2 服务器中获取额外的恶意软件。研究人员能够获得多个 MATA 组件，包括插件。与之前的版本相比，此次活动中发现的 MATA 恶意软件已经迭代了多次，并使用盗窃的合法证书对其某些组件进行签名。通过这项研究，研究人员发现 MATA 和 Lazarus 组织之间的联系更紧密，包括获取MATA恶意软件的下载程序显示了与TangoDaiwbo的联系，而研究人员之前认为TangoDaiwbo是Lazarus组织开发的。

　　研究人员还发现了使用更新的 DeathNote 集群的 Lazarus 团体活动。第一次涉及 6 月份对一家韩国智库的攻击。第二次是 5 月份对 IT 资产监控解决方案供应商的攻击。研究人员的调查揭示了指向 Lazarus 建立供应链攻击能力的迹象。在一个案例中，研究人员发现感染链源于合法的韩国安全软件执行恶意载荷；在第二个案例中，攻击目标是一家在拉脱维亚开发资产监控解决方案的公司，该公司是 Lazarus 的非典型受害者。DeathNote 恶意软件集群包含一个稍微更新的 BLINDINGCAN 变体，这是美国 CISA（网络安全和基础设施安全局）先前报告的恶意软件。BLINDINGCAN 还被用于提供 COPPERHEDGE 的新变体，CISA 文章中也有报道。研究人员之前曾在 2020 年 1 月报告了对 COPPERHEDGE 的初步发现。作为感染链的一部分，Lazarus 使用了一个名为 Racket 的下载程序，他们使用窃取的证书签名。由于使用本地 CERT 接管了攻击者的基础设施，研究人员有机会研究与 DeathNote 集群相关的几个 C2 脚本。该攻击者破坏了易受攻击的 Web 服务器并上传了几个脚本来过滤和控制成功入侵的受害者设备上的恶意植入。

　　Kimsuky 组织是目前最活跃的 APT 组织之一，攻击者以专注于网络间谍活动而闻名，但偶尔会为了经济利益而进行网络攻击。与其他 APT 组织一样，Kimsuky 包含几个集群：BabyShark、AppleSeed、FlowerPower 和 GoldDragon。

　　每个集群使用不同的方法并具有不同的特征：

　　?BabyShark 在 C2 操作中严重依赖脚本化恶意软件和受感染的 Web 服务器；

　　?AppleSeed 使用名为 AppleSeed 的独特后门；

　　?FlowerPower 使用 PowerShell 脚本和恶意的 Microsoft Office 文档；

　　?GoldDragon 是最古老的集群，最接近原始的 Kimsuky 恶意软件。

　　然而，这些集群也显示出一些重叠。特别是，GoldDragon 和 FlowerPower 在其 C2 基础设施中共享强大的连接。但是，其他集群也与 C2 基础设施有少量连接，这说明BabyShark 和 AppleSeed 的运营策略不同。

　　早在 5 月，研究人员就发表了一份关于新发现的Andariel活动的报告。在此活动中，位于韩国的众多企业都成为自定义勒索软件的目标。在研究人员的研究中，研究人员发现攻击者使用两个向量来破坏目标。第一个是使用带有恶意宏的武器化 Microsoft Office 文档。在研究人员最初报告时，第二个向量仍然未知，但研究人员发现了包含工具 ezPDF Reader 路径的工件，该工具由一家名为 Unidocs 的韩国软件公司开发。由于研究人员缺少明确的证据表明攻击利用了该软件中的漏洞，为了解决这个问题，研究人员决定审核该应用程序的二进制文件。研究人员对该软件的分析使研究人员发现了 ezpdfwslauncher.exe 中的一个远程代码执行漏洞，可以利用该漏洞在没有任何用户交互的情况下，利用ezpdfwslauncher.exe入侵网络上的计算机。研究人员非常自信地评估 Andariel 组织在其攻击中使用了相同的漏洞。在此发现后，研究人员联系了 Unidocs 的开发人员，并与他们分享了此漏洞的详细信息。目前，该漏洞已经被命名为 CVE-2021-26605，并进行了修复。

　　本季度，研究人员描述了与 Origami Elephant 攻击者（又名 DoNot 团队，APT-C-35，SECTOR02）相关的活动，这些活动从 2020 年初一直持续到今年。虽然Origami Elephant 继续利用已知的 Backconfig（又名 Agent K1）和 Simple Uploader 组件，但研究人员也发现了名为 VTYREI（又名 BREEZESUGAR）的鲜为人知的恶意软件用作第一阶段的有效载荷。此外，研究人员观察到了一种独特的技术，可以对恶意文档中使用的远程模板进行编码，目前他们还没有看到其他攻击者使用过这种技术。攻击者继续关注南亚地区，对主要位于巴基斯坦、孟加拉国、尼泊尔和斯里兰卡的政府和军事对象。

　　研究人员还跟踪了从 2020 年底到报告发布期间针对 Android 手机的 Origami Elephant 活动。研究人员发现基础设施仍然处于活跃状态，与之前报告的相同恶意软件进行通信，尽管在代码混淆方面有一些变化。目标与去年相同，受害者位于南亚地区：尤其是印度、巴基斯坦和斯里兰卡。与去年的攻击活动相比，攻击者修改了感染链。研究人员观察到 Android木马是直接传播的，而不是提供下载程序 stager。这是通过指向恶意登录页面的链接或通过某些即时消息平台（例如 WhatsApp）直接发送消息来完成的。研究人员分析的样本模仿了各种应用程序，例如私人消息传递、VPN 和媒体服务。研究人员的报告涵盖了 Origami Elephant 针对 Android 设备的活动的当前状态，并提供了与最新和历史活动相关的额外 IoC。使用研究人员之前研究中的可用线索扫描互联网，研究人员能够发现新部署的主机，在某些情况下甚至在它们变得活跃之前。

　　其他有趣的发现

　　9 月，研究人员提供了 FinSpy PC 植入程序的概述。这不仅包括Windows版本，也包括Linux和macOS版本，它们共享相同的内部结构和功能。FinSpy是一种臭名昭著的监视工具，一些非政府组织多次报告说它被用来对付记者、政治异议人士和人权活动家。历史上，它的 Windows 植入是由单阶段间谍软件安装程序表示的。直到 2018 年，此版本已被多次检测和研究。从那时起，研究人员观察到 FinSpy for Windows 的检测率下降。虽然这种异常的性质仍然未知，但研究人员开始检测一些带有 Metasploit stagers 后门的可疑安装程序包。直到 2019 年年中，当研究人员在适用于 Android 的 FinSpy Mobile 植入程序中找到为这些安装程序提供服务的主机时，研究人员才能够确定这些软件包的属性。在研究人员的调查过程中，他们发现后门安装程序只不过是第一阶段的植入程序，用于在实际的 FinSpy 特洛伊木马之前下载和部署更多有效载荷。除了木马安装程序之外，研究人员还观察到涉及使用 UEFI 或 MBR bootkit的感染。虽然 MBR 感染至少在 2014 年就已为人所知，但 UEFI bootkit 的详细信息仅在研究人员的文章中首次被公开披露。在此分享一些关于 FinSpy 植入程序实际状态的未知发现。

　　在第三季度末，研究人员发现了一个以前未知的具有高级功能的有效载荷，它使用两个感染链向中东的各种政府组织和电信公司传播。有效载荷使用 Windows 内核模式 rootkit 来促进其某些活动，并且能够通过 MBR 或 UEFI bootkit进行持久部署。有趣的是，在这次攻击中观察到的一些组件以前曾多次由Slingshot代理在内存中部署，其中 Slingshot 是研究人员过去在几个案例中介绍过的后开发框架（不要与“Slingshot”APT混淆）。它是一个专有的商业渗透测试工具。然而，这并不是攻击者第一次利用它。研究人员之前在 2019 年发布的一份关于 FruityArmor 活动的报告显示，攻击组织利用它来针对中东多个行业的组织，可能是利用 Skype 中的漏洞作为感染媒介。在最近的一份报告中，研究人员对新发现的恶意工具包进行了深入分析，该工具包是研究人员与 Slingshot 一起观察到的，以及它如何在野外活动集群中被利用，研究人员还特别介绍了一些高级功能。

　　总结

　　虽然一些攻击者的 TTP 会在短时间内保持一致，严重依赖社会工程作为在目标组织中立足或破坏个人设备的一种手段，但其他人则更新了他们的工具集并扩展了他们的活动范围。

　　以下是研究人员在 2021 年第三季度看到的主要趋势：

　　1.供应链攻击继续存在，包括 SmudgeX、DarkHalo 和 Lazarus 的攻击。

　　2.在本季度，研究人员专注于研究和防护他们检测到的恶意活动后的监视框架。其中包括 FinSpy 以及使用称为 Slingshot 的商业后开发框架上演的高级且功能强大的有效载荷。这些工具包含强大的隐蔽功能，例如使用bootkit进行持久化。Bootkit 仍然是一些备受瞩目的 APT 攻击的活跃组件，尽管微软已经添加了各种缓解措施，使它们在 Windows 操作系统上部署起来更加容易。

　　3.社会工程学仍然是发起攻击的关键方法，；还有漏洞利用（CloudComputating、Origami Elephant、Andariel），包括利用固件漏洞。

　　4.正如各种攻击者（包括 Gamaredon、CloudComputating、ExCone、Origami Elephant、ReconHellcat、SharpPanda）的活动所表明的那样，地缘政治继续推动 APT 的发展。