【編者按】三年多來，卡巴斯基全球研究和分析團隊(GReAT)持續發布高級持續威脅(APT)活動趨勢報告，該報告詳細討論了年度中值得關注的代表性事件，旨在強調人們應該意識到的重大事件和發現。本文重點關注了在2020年第三季度觀察到的攻擊活動，主要包括Transparent Tribe、Sidewinder、Origami Elephant和MosaicRegressor等涉及地緣政治APT組織的活動，APT組織WellMess和Sidewinder利用COVID-19熱門話題引誘用戶下載并執行釣魚電子郵件中附帶的惡意軟件，以及雇傭軍APT組織DeathStalker針對金融部門發起的攻擊。

　　一、主要發現

　　卡巴斯基研究人員記錄了威脅組織DeathStalker的攻擊活動，該組織的主要攻擊目標集中在律師事務所和在金融領域公司。研究發現，DeathStalker是一個雇傭兵組織，收集敏感業務信息，專門提供黑客服務及充當金融界的信息經紀人。該攻擊者使用一個名為Powersing的基于PowerShell的植入物引起了大家的關注。本季度，卡巴斯基解開了DeathStalker基于LNK的Powersing入侵工作流程。雖然在整個工具集中沒有什么突破性的新內容，但是通過了解成功的威脅參與者使用的現代感染鏈的基礎，防御者可以獲得很大的價值。DeathStalker繼續開發和使用這種植入物，使用自2018年以來幾乎相同的戰術，同時也在努力逃避檢測。DeathStalker使用的三種基于腳本語言的工具鏈包括Powersing、Janicab和Evilnum。

　　卡巴斯基在2020年6月下旬檢測到了一批新的植入，顯示出DeathStalker相當靜態的操作方式發生了有趣的變化。例如，該惡意軟件使用嵌入的IP地址或域名直接連接到C2服務器，而不是以前的變體，利用至少兩個失效丟棄解析器(DDR)或Web服務(如論壇和代碼共享平臺)來獲取真實的C2 IP地址或域。在這此攻擊事件中，攻擊者并不僅僅局限于發送魚叉式網絡釣魚郵件，而是通過多封電子郵件積極與受害者接觸，說服他們打開誘餌，以增加威脅的機會。此外，除了在整個入侵周期中使用基于Python的植入，在新舊變體中，第一次看到攻擊者放棄PE二進制文件作為中間階段來加載Evillum，同時使用高級技術來規避和繞過安全產品。

　　此外，卡巴斯基還發現了DeathStalker使用的另一個復雜的、低技術含量的植入物PowerPepper。交付工作流使用Microsoft Word文檔，并刪除以前未知的PowerShell植入，依賴于HTTPS上的DNS(DoH)作為C2通道。

　　在最近一次針對目標活動的調查中，卡巴斯基研究人員發現了一個UEFI固件映像，其中包含將以前未知的惡意軟件丟棄到磁盤的惡意組件。通過分析表明，泄露的固件模塊基于已知的名為Vector-EDK的Bootkit，被投放的惡意軟件是進一步組件的下載器。通過分析惡意軟件的獨特特征，從的遙測數據中發現了一系列類似的樣本，這些樣本自2017年以來一直被用來對付外交目標，具有不同的感染載體。雖然MOST的業務邏輯是相同的，但可以看到一些具有附加功能或在實現上有所不同。

　　二、各地區攻擊態勢

　　(一)歐洲地區

　　英國國家網絡安全中心(NCSC)發布了關于WellMess的首份報告后，聯合加拿大和美國政府發布了關于WellMess最近活動的聯合技術咨詢。具體來說，三國政府都將這種惡意軟件針對COVID-19疫苗研究的使用歸因于Dukes家族(又名APT29和Cozy Bear)。該報告還詳細說明了在此活動中使用的另外兩個惡意軟件SOREFANG和WellMail。鑒于有關歸屬的直接公開聲明、咨詢中提供的新細節以及自最初調查以來發現的新信息，卡巴斯基發布了新報告，作為對其之前關于這一威脅行為者的報道的補充。

　　雖然NCSC公告的發布提高了公眾對最近這些攻擊中使用的惡意軟件的普遍認識，但這三個國家的政府發表的歸屬聲明并沒有為其他研究人員提供明確清晰的證據來證實這一點。

　　(二)俄語地區

　　今年夏天，卡巴斯基發現了一個以前未知的多模塊C++工具包，用于高針對性的工業間諜攻擊，可追溯到2018年。到目前為止，還沒有看到與已知的惡意行為在代碼、基礎設施或TTP方面的相似之處。到目前為止，研究人員認為這個工具集及其背后的參與者是新的。惡意軟件作者將工具集命名為MT3，基于此縮寫，將工具集命名為MontysThree。該惡意軟件配置為搜索特定的文檔類型，包括存儲在可移動媒體上的文檔類型。該惡意軟件使用合法的云服務，如Google、Microsoft和Dropbox進行C2通信。

　　(三)中文地區

　　今年早些時候，卡巴斯基的研究人員在亞洲和非洲的地區性政府間組織網絡中發現了一種名為Moriya的活躍的、以前不為人知的隱形植入物。該工具用于控制這些組織中的公共服務器，方法是使用C2服務器建立一個秘密通道，并將shell命令及其輸出傳遞給C2。使用Windows內核模式驅動程序可以方便地實現此功能。

　　該工具的使用是名為TunnelSnake的持續攻擊的一部分。Rootkit于5月份在目標計算機上被檢測到，攻擊可以追溯到2019年11月，在最初感染后在網絡中持續了幾個月。發現另一個工具顯示與這個rootkit有顯著的代碼重疊，這表明開發人員至少從2018年就開始活躍了。由于Rootkit和攻擊期間附帶的其他橫向移動工具都不依賴于硬編碼的C2服務器，因此只能獲得對攻擊者基礎設施的部分可見性。

　　研究人員還發現了一個持續的攻擊，可以追溯到5月份，利用了Ke3chang的一個新版本Okrum后門。此更新版本的Okrum使用Authenticode簽名的Windows Defender二進制文件，使用獨特的側向加載技術。攻擊者使用隱寫術來隱藏Defender可執行文件中的主要有效負載，同時保持其數字簽名有效，從而降低被檢測到的機會。以前從未見過這種方法在野外被用于惡意目的，但是已經觀察到一家位于歐洲的電信公司成為受害者。

　　(四)中東地區

　　在6月份，卡巴斯基觀察到MuddyWater APT組織的新攻擊，涉及使用一組新的工具，這些工具構成了加載惡意軟件模塊的多階段框架。該框架的一些組件利用代碼與C2通信，這些代碼與今年早些時候在MoriAgent惡意軟件中觀察到的代碼完全相同。出于這個原因，將新框架命名為MementoMori。新框架的目的是促進內存中更多PowerShell或DLL模塊的執行。研究人員已經在土耳其、埃及和阿塞拜疆發現了知名的受害者。

　　(五)東南亞和朝鮮半島

　　今年5月，研究人員發現了屬于DTrack家族的新樣本。第一個名為Valefor，是DTrack RAT的更新版本，包含一個新功能，可讓攻擊者執行更多類型的負載。第二個是一個名為Camio的鍵盤記錄器，其鍵盤記錄器的更新版本。這個新版本更新了記錄的信息及其存儲機制。通過觀察到有跡象表明，這些惡意軟件程序是為特定受害者量身定做的。在進行研究時，卡巴斯基的遙測數據顯示受害者位于日本。

　　自去年12月以來，研究人員一直在跟蹤LODEINFO，這是一種用于定向攻擊的無文件惡意軟件。在這段時間里，觀察到了作者開發惡意軟件時的幾個版本。今年5月，研究人員發現v0.3.6版本針對的是位于日本的外交機構。之后不久，也檢測到了v0.3.8。調查揭示了攻擊者在橫向移動階段是如何運作的：在獲得所需數據后，攻擊者會擦除他們的痕跡。

　　在跟蹤 APT組織Transparent Tribe時，研究人員發現了這位APT威脅參與者使用的一個工具：用于管理CrimsonRAT機器人的服務器組件，并發現了該軟件的不同版本。表明該工具的主要目的是竊取文件，因為具有瀏覽遠程文件系統和使用特定過濾器收集文件的功能。Transparent Tribe又名PROJECTM和MYTHIC LEOPARD，是一個非常多產的APT團體，近幾個月來它的攻擊增加了?？ò退够鶊蟮懒耸褂肅rimsonRAT工具發起的一項新的廣泛攻擊，在那里能夠設置和分析服務器組件，并首次看到USBWorm組件的使用;還發現了一個用于針對印度軍事人員的Android植入物。這一發現也證實了在之前的調查中已經發現的許多信息;也證實了CrimsonRAT仍在積極開發中。

　　今年4月，研究人員發現了一種新的惡意軟件變種，根據構建路徑和內部文件名將其命名為CRAT。該惡意軟件是通過武器化的朝鮮語文檔以及特洛伊木馬應用程序和戰略性的網絡危害傳播的。自發現以來，功能齊全的后門系統迅速發展，多樣化為幾個組件。下載器向受害者提供CRAT，然后是下一階段的惡意軟件SecondCrat：這個編排器加載各種間諜插件，包括鍵盤記錄、屏幕捕獲和剪貼板竊取。在卡巴斯基的調查中，研究人員發現了與ScarCruft和Lazarus的幾個薄弱環節：惡意軟件內部的幾個調試消息與ScarCruft惡意軟件有相似的模式，以及一些代碼模式和Lazarus C2基礎設施的命名。

　　今年6月，研究人員觀察到了一組新的惡意安卓下載器，根據遙測數據，這些下載器至少從2019年12月起就在野外被積極使用;并且被用于幾乎完全針對巴基斯坦受害者的活動。它的作者使用了Kotlin編程語言和Firebase消息系統作為下載器，它模仿了Chat Lite、克什米爾新聞服務和其他合法的地區性Android應用程序。美國國家電信和信息技術安全委員會(NTISB)1月份的一份報告描述了共享相同C2和欺騙相同合法應用的惡意軟件。根據這份出版物，攻擊目標是巴基斯坦軍方機構，攻擊者使用WhatsApp消息、短信、電子郵件和社交媒體作為最初的感染媒介?？ò退够倪b測數據顯示，這種惡意軟件也通過電報信使傳播。通過對最初的一組下載程序的分析，研究人員發現了另外一組認為非常相關的特洛伊木馬程序，因為它們使用下載程序中提到的包名稱，并且集中在相同的目標上。這些新樣本與先前被認為是Origami Elephant的樣本有很強的代碼相似性。

　　在7月中旬，卡巴斯基觀察到一個東南亞政府組織被一個未知的威脅行動者盯上，該攻擊者使用了一個包含多層惡意RAR可執行程序包的惡意ZIP包。在其中一起攻擊中，使用的攻擊主題是COVID-19的遏制。研究人員認為，同樣的組織很可能也是政府網絡服務器漏洞的目標。就像過去看到的針對特定國家的其他行動一樣，這些對手正在采取長期、多管齊下的方法，在不利用零日漏洞的情況下危害目標系統。值得注意的是，另一家集團(很可能是OceanLotus)在新冠肺炎主題的惡意LNK事件發生后一個月左右的時間里，除了使用Coobalt Strike之外，還使用了類似的電報傳遞技術，并植入了針對同一政府目標的惡意軟件。

　　2020年5月，卡巴斯基阻止了一次針對一家韓國公司的惡意Internet Explorer腳本攻擊。進一步分析顯示，該攻擊使用了以前不知道的全鏈攻擊，包括兩個零日攻擊:針對Internet Explorer的遠程代碼執行攻擊和針對Windows的特權提升攻擊。與之前發現的、在Operation WizardOpium中使用的全鏈條不同，新的全鏈條針對的是Windows10的最新版本，研究人員的測試表明，它可靠地利用了IE 11和Windows10 Build 18363x64。已向微軟報告了卡巴斯基的發現，微軟證實了這些漏洞，并及時發布了相關補丁程序。

　　7月22日，研究人員發現了一個從意大利來源上傳到VirusTotal的可疑存檔文件。該文件似乎是一個包含惡意腳本、訪問日志、惡意文檔文件和幾個與安全解決方案檢測到的可疑文件相關的屏幕截圖的分類。在查看了這些惡意文檔文件后，發現它們與6月份報道的Lazarus團體活動有關。這項名為DeathNote的行動，目標是汽車行業和學術領域的個人，使用包含航空航天和國防相關職位描述的誘餌文檔。研究人員確信，這些文件與最近報道的一起針對以色列國防公司的攻擊有關，并已經發現了WebShell腳本、C2服務器腳本和惡意文檔，確定了幾個連接到受攻擊的C2服務器的受害者，以及訪問C2服務器的方法。

　　在觀察到2月份開始的一場持續的Sidewinder活動中，使用了五種不同類型的惡意軟件。該組織對其最終有效載荷進行了調整，并繼續利用當前的主題，如新冠肺炎，以政府、外交和軍事實體為目標進行魚叉式網絡釣魚。雖然感染機制與以前相同，包括組選擇的利用漏洞(CVE-2017-1182)和使用DotNetToJScript工具部署最終有效負載，但攻擊者還使用包含Microsoft編譯的HTML幫助文件的ZIP歸檔文件來下載最后階段的有效負載。除了現有的基于.NET的植入物之外，威脅制造者還添加了JS Orchestrator、Rover/Scout后門以及AsyncRAT、warzoneRAT的修改版本。

　　(六)其他發現

　　今年4月，思科公司(Cisco Talos)發現了一個身份不明的黑客使用名為PoetRAT的新惡意軟件，攻擊阿塞拜疆政府和能源部門的活動。在與卡巴斯基ICS CERT的合作中，研究人員確定了相關惡意軟件和文件的補充樣本，這些惡意軟件和文件更廣泛的目標是阿塞拜疆的多所大學、政府、工業組織以及能源部門的實體。該運動于2019年11月初開始;在思科Talos報告發布后，攻擊者立即關閉了基礎設施?？ò退够芯咳藛T將其命名為Obsidian Gargoyle。

　　三、總結

　　隨著時間的推移，一些威脅分子的TTP保持相當一致，例如利用熱門話題(如COVID-19)引誘用戶下載并執行魚叉式釣魚電子郵件中發送的惡意附件，而另一些組織則進行自我改造，開發新的工具集，擴大活動范圍，包括新平臺。雖然一些威脅分子開發了非常復雜的工具，例如MosiacRegressor UEFI植入物，但另一些人在基本的TTP方面取得了巨大成功。因此定期季度評估旨在突出APT小組的關鍵發展。

　　以下是卡巴斯基總結的2020年第三季度主要趨勢：

　　l 地緣政治繼續推動著許多APT運動的發展，正如最近幾個月看到的Transparent Tribe、Sidewinder、Origami Elephant和MosaicRegressor的活動，以及NCSC和美國司法部對各種威脅行為者的“點名批評”;

　　l 金融部門的組織也繼續吸引人們的注意：雇傭兵組織DeathStalker的活動就是最近的一個例子;

　　l 研究人員持續觀察到移動植入物在APT攻擊中的使用，子包括Transparent Tribe和Origami Elephant;

　　l 盡管APT威脅組織仍然活躍在全球各地，但最近的活動熱點是東南亞、中東和中文APT組織活動影響的各個地區;

　　l 第三季度仍然看到以COVID-19為主題的攻擊，包括WellMess和Sidewinder;

　　l 本季度最有趣的APT活動包括Deathstaker和MosaicRegressor：Deathstaker強調了APT組織無需開發高度復雜的工具就能實現目標的事實，MosaicRegressor代表了惡意軟件開發的前沿。

　　參考資料：

　　【1】https://securelist.com/apt-trends-report-q3-2020/99204/