卡巴斯基:2018年APT攻击年度回顾
在这一年之中,APT攻击最值得注意的发展是什么?我们可以从中学到什么?
要回答这个问题并不容易,我们每个人都只能看到其中的一个局部,并且可能永远无法真正理解某些攻击的动机或其背后的发展。尽管如此,在攻击发生之后,我们可以从不同的角度来解决问题,从而更好的理解所发生的事情。
一、大型恶意组织
在安全领域,有一些“经典”的恶意组织是众所周知的,并且在过去几年中被很多人广泛追踪。2018年,这些恶意组织一如既往地进行其恶意活动,其中有一些组织稍显低调。
实际上,这些恶意组织的技术水平和运营手段,决定了他们在得知自己已经进入公众视野之后所作出的反应。有些恶意组织会直接放弃他们的恶意活动,并进入到清理痕迹的阶段,而其他一些恶意组织会照常进行他们的活动。为了实现这一点,有一些参与者通常同时投入到几起恶意活动之中。这样一来,就允许这些恶意组织隔离他们的活动,如果他们被发现,可以直接改进其工具集,以避免下次被检测到。
我们发现了许多使用俄语的恶意组织,其中需要重点强调Sofacy、Turla和CozyBear在2018年的活动。
1.1 Sofacy
Sofacy可能是这三个恶意组织中最为活跃的。在整年中,我们在各类恶意活动中发现了该组织的活动,他们更新了他们的工具集,并被当局指定为几个恶意活动的幕后主使。我们已经看到一些恶意组织部署了针对大使馆和欧盟机构的Gamefish和DealersChoice框架的更新版本。其中,最引人注意的一起事件是,该恶意组织滥用Computrace LoJack,以便将他们的恶意软件部署在目标计算机上,这可以被视为是UEFI类型的Rootkit。
Zebrocy是恶意组织使用的工具之一,但实际上,使用这个工具的事件可以视为是恶意活动的一个分支。我们看到了Zebrocy工具的不断改进,包括增加了一个新的自定义收集器/下载器、实现反沙箱技术的新VBA、新的.NET模块。
在这一年中,我们发现Sofacy组织似乎正在结构层面上发生变化,并且可能已经分裂成了不同的组织。经过对OlympicDestroyer的分析,我们了解到这种高度复杂的伪装在某种程度上与Sofacy组织有关。然而,我们后来观察到欧洲和乌克兰发生了更多起OlympicDestroyer恶意活动,并决定将其视为名为Hades的实体。
值得注意的是,在GreyEnergy恶意活动开始后,我们发现GreyEnergy和Zebrocy之间存在相同之处,二者使用相同的基础设施以及相同的ICS 0day漏洞。
目前存在的所有证据,都将这个新出现的Hades组织与Zebrocy联系在一起,因此可以认定与Sofacy恶意组织相关,同时也作为BlackEnergy、GreyEnergy、Sandworm集群的一部分。
1.2 Turla
关于Turla,我们没有发现该组织发生任何重大的结构调整,但我们确实发现该组织使用了一些关键的植入工具,例如LightNeuron(针对Exchange服务器)以及一个新的后门(在2017年用于感染德国外交部以及欧盟其他实体)。
我们还发现了这一恶意组织在针对大使馆和外交事务机构的恶意活动中,使用了Carbon恶意软件的新变种。该组织也开始使用我们称之为Phoenix的新框架,并将其开发为横向移动的脚本,以及开源工具。
1.3 CozyDuke
在2018年11月,我们发现了CozyDuke组织的一些活动迹象,主要针对欧洲的外交机构和政府机构。该组织所使用的TTP,也曾在其他组织的恶意活动中被发现,因此我们推断该恶意软件可能同时被另一个恶意团队所使用。根据现有信息,我们仍认为该恶意软件是由CozyDuke开发的。我们仍然在持续跟进这一新的恶意活动,但近几个月来始终没有动作。
1.4 其他恶意组织
在2018年,同样值得一提的是Lazarus和BlueNoroff的恶意活动。我们观察到这两个恶意集团不断针对不同地区(包括土耳其、亚洲地区和拉丁美洲)发起恶意活动,主要目标锁定在能为其带来经济利益的业务(如赌场、金融机构、加密货币平台)。在最近的恶意活动中,该组织已经开始部署我们称之为ThreatNeedle的新型恶意软件。
二、伪装掩护
一些恶意组织在开展恶意活动时,偶尔会进行伪装掩护,这一点毫不奇怪。甚至,有一些伪装能轻松被识破,看起来非常可笑。除了技术细节本身外,研究人员还应该关注攻击的真实目的,并探究恶意软件中添加伪装掩护的原因。
我们得到的第一个结论是,攻击者目前非常清楚安全行业使用哪些技术来对攻击进行溯源,因此他们也滥用这些信息,来愚弄安全研究人员。另一个需要考虑的因素是,攻击的主要目标可能不一定是窃取信息或进行破坏,也有一些恶意人员在模仿知名的攻击者。
事实上,一些恶意组织可能目前正在做这样的事情。有一些恶意组织,在一段时间内曾销声匿迹,但现在又浮出水面。但是,他们这一次使用了不同的TTP,而所使用的TTP却不一定是更好的。相应的例子是CozyDuke和APT10,我们猜测这些恶意组织的工具目前被另一个组织所使用,可能这一组织仍然与原来的运营者具有关联性。这样做的目的,可能是使溯源变得更加困难,或者仅仅是为了确保他们的持续运营。
通过OlympicDestroyer的事件,我们发现了一个与Sofacy和BlackEnergy相关的新型组织,我们称之为Hades。在后续,我们还将持续关注这些伪装掩护的发展情况,以及恶意组织如何使用伪装掩护来试图掩盖他们的真实目的。
三、重出江湖的APT组织
在今年,我们还看到了几个“老朋友”,从沉睡中醒来,重新出现在我们的视野之中。在这一章,我们主要讨论一些著名的恶意组织,由于不明原因(可能是缺乏相应的监测)近年来没有发现有太大的动作,但近期又重新出现。其中,一些重出江湖的恶意组织似乎能力不如以往,推测可能是运营人员发生了变更,或者是想要掩盖他们的动作。另外也有一些恶意组织,重出江湖后仍然保持了原有的实力。
我们可以通过地理区域,来对这一年中重出江湖的恶意组织进行划分,排名第一的是东南亚地区,其次是中东。
3.1 东南亚地区
在东南亚地区,Kimsuky组织在今年年初开发了一个全新的工具集,并执行了一个名为WinNTI Umbrella的恶意活动。此外,最值得注意的是DarkHotel、LuckyMouse和APT10等恶意组织。
在这一年之中,APT攻击最值得注意的发展是什么?我们可以从中学到什么?
要回答这个问题并不容易,我们每个人都只能看到其中的一个局部,并且可能永远无法真正理解某些攻击的动机或其背后的发展。尽管如此,在攻击发生之后,我们可以从不同的角度来解决问题,从而更好的理解所发生的事情。
一、大型恶意组织
在安全领域,有一些“经典”的恶意组织是众所周知的,并且在过去几年中被很多人广泛追踪。2018年,这些恶意组织一如既往地进行其恶意活动,其中有一些组织稍显低调。
实际上,这些恶意组织的技术水平和运营手段,决定了他们在得知自己已经进入公众视野之后所作出的反应。有些恶意组织会直接放弃他们的恶意活动,并进入到清理痕迹的阶段,而其他一些恶意组织会照常进行他们的活动。为了实现这一点,有一些参与者通常同时投入到几起恶意活动之中。这样一来,就允许这些恶意组织隔离他们的活动,如果他们被发现,可以直接改进其工具集,以避免下次被检测到。
我们发现了许多使用俄语的恶意组织,其中需要重点强调Sofacy、Turla和CozyBear在2018年的活动。
1.1 Sofacy
Sofacy可能是这三个恶意组织中最为活跃的。在整年中,我们在各类恶意活动中发现了该组织的活动,他们更新了他们的工具集,并被当局指定为几个恶意活动的幕后主使。我们已经看到一些恶意组织部署了针对大使馆和欧盟机构的Gamefish和DealersChoice框架的更新版本。其中,最引人注意的一起事件是,该恶意组织滥用Computrace LoJack,以便将他们的恶意软件部署在目标计算机上,这可以被视为是UEFI类型的Rootkit。
内容来自无奈安全网
Zebrocy是恶意组织使用的工具之一,但实际上,使用这个工具的事件可以视为是恶意活动的一个分支。我们看到了Zebrocy工具的不断改进,包括增加了一个新的自定义收集器/下载器、实现反沙箱技术的新VBA、新的.NET模块。
在这一年中,我们发现Sofacy组织似乎正在结构层面上发生变化,并且可能已经分裂成了不同的组织。经过对OlympicDestroyer的分析,我们了解到这种高度复杂的伪装在某种程度上与Sofacy组织有关。然而,我们后来观察到欧洲和乌克兰发生了更多起OlympicDestroyer恶意活动,并决定将其视为名为Hades的实体。
值得注意的是,在GreyEnergy恶意活动开始后,我们发现GreyEnergy和Zebrocy之间存在相同之处,二者使用相同的基础设施以及相同的ICS 0day漏洞。
目前存在的所有证据,都将这个新出现的Hades组织与Zebrocy联系在一起,因此可以认定与Sofacy恶意组织相关,同时也作为BlackEnergy、GreyEnergy、Sandworm集群的一部分。
1.2 Turla
关于Turla,我们没有发现该组织发生任何重大的结构调整,但我们确实发现该组织使用了一些关键的植入工具,例如LightNeuron(针对Exchange服务器)以及一个新的后门(在2017年用于感染德国外交部以及欧盟其他实体)。
我们还发现了这一恶意组织在针对大使馆和外交事务机构的恶意活动中,使用了Carbon恶意软件的新变种。该组织也开始使用我们称之为Phoenix的新框架,并将其开发为横向移动的脚本,以及开源工具。
1.3 CozyDuke
在2018年11月,我们发现了CozyDuke组织的一些活动迹象,主要针对欧洲的外交机构和政府机构。该组织所使用的TTP,也曾在其他组织的恶意活动中被发现,因此我们推断该恶意软件可能同时被另一个恶意团队所使用。根据现有信息,我们仍认为该恶意软件是由CozyDuke开发的。我们仍然在持续跟进这一新的恶意活动,但近几个月来始终没有动作。
1.4 其他恶意组织
在2018年,同样值得一提的是Lazarus和BlueNoroff的恶意活动。我们观察到这两个恶意集团不断针对不同地区(包括土耳其、亚洲地区和拉丁美洲)发起恶意活动,主要目标锁定在能为其带来经济利益的业务(如赌场、金融机构、加密货币平台)。在最近的恶意活动中,该组织已经开始部署我们称之为ThreatNeedle的新型恶意软件。
二、伪装掩护
一些恶意组织在开展恶意活动时,偶尔会进行伪装掩护,这一点毫不奇怪。甚至,有一些伪装能轻松被识破,看起来非常可笑。除了技术细节本身外,研究人员还应该关注攻击的真实目的,并探究恶意软件中添加伪装掩护的原因。
本文来自无奈人生安全网
我们得到的第一个结论是,攻击者目前非常清楚安全行业使用哪些技术来对攻击进行溯源,因此他们也滥用这些信息,来愚弄安全研究人员。另一个需要考虑的因素是,攻击的主要目标可能不一定是窃取信息或进行破坏,也有一些恶意人员在模仿知名的攻击者。
事实上,一些恶意组织可能目前正在做这样的事情。有一些恶意组织,在一段时间内曾销声匿迹,但现在又浮出水面。但是,他们这一次使用了不同的TTP,而所使用的TTP却不一定是更好的。相应的例子是CozyDuke和APT10,我们猜测这些恶意组织的工具目前被另一个组织所使用,可能这一组织仍然与原来的运营者具有关联性。这样做的目的,可能是使溯源变得更加困难,或者仅仅是为了确保他们的持续运营。
通过OlympicDestroyer的事件,我们发现了一个与Sofacy和BlackEnergy相关的新型组织,我们称之为Hades。在后续,我们还将持续关注这些伪装掩护的发展情况,以及恶意组织如何使用伪装掩护来试图掩盖他们的真实目的。
三、重出江湖的APT组织
在今年,我们还看到了几个“老朋友”,从沉睡中醒来,重新出现在我们的视野之中。在这一章,我们主要讨论一些著名的恶意组织,由于不明原因(可能是缺乏相应的监测)近年来没有发现有太大的动作,但近期又重新出现。其中,一些重出江湖的恶意组织似乎能力不如以往,推测可能是运营人员发生了变更,或者是想要掩盖他们的动作。另外也有一些恶意组织,重出江湖后仍然保持了原有的实力。
无奈人生安全网
我们可以通过地理区域,来对这一年中重出江湖的恶意组织进行划分,排名第一的是东南亚地区,其次是中东。
3.1 东南亚地区
在东南亚地区,Kimsuky组织在今年年初开发了一个全新的工具集,并执行了一个名为WinNTI Umbrella的恶意活动。此外,最值得注意的是DarkHotel、LuckyMouse和APT10等恶意组织。
copyright 无奈人生