2023年第三季度APT攻擊趨勢報告

年初，研究人員發現了針對亞太地區政府的持續攻擊。這起攻擊事件，通過攻擊特定類型的安全USB驅動器達成，這種安全的USB驅動器被國家的政府機構用來在計算機系統之間，安全地存儲和物理傳輸數據，該驅動器提供硬件加密。USB驅動器包含一個受保護的分區，該分區只能通過捆綁在USB未加密部分的定制軟件和用戶已知的密碼短語來訪問。

調查揭示了一個由各種惡意模塊組成的長期活動，用于執行命令，從受感染的設備收集文件和信息，并將其傳遞給使用相同或其他安全USB驅動器作為載體的其他設備。它們還能夠在受感染的系統上執行其他惡意文件。

攻擊包括復雜的工具和技術，包括基于虛擬化的軟件對惡意軟件組件進行混淆，使用直接SCSI命令與USB驅動器進行低層級通信，通過連接的安全USB驅動器進行自我復制以傳播到其他間隙系統，并將代碼注入USB驅動器上的合法訪問管理程序，該程序充當新設備上惡意軟件的加載程序。

這些攻擊極具針對性，受害者人數也相當有限。研究人員的調查顯示，在部署攻擊時使用的惡意工具非常復雜。研究人員認為，這些攻擊是由一個技術高超、足智多謀的攻擊者實施的，他一定對敏感和受保護的政府網絡的間諜活動感興趣。因此，深入了解該攻擊者的https并警惕未來的攻擊非常重要。

BlindEagle的目標是南美的政府機構和個人。雖然這個攻擊者的主要目標是間諜活動，但它也對竊取金融數據表現出了興趣。BlindEagle的一個顯著特征是，該攻擊者傾向于循環使用各種開源遠程訪問木馬(rat)，如AsyncRAT、Lime-RAT和BitRAT，并將它們作為最終有效負載來實現其目標。

BlindEagle最近的一項進展是改變了最終有效負載的選擇。之前，研究人員的報告已經詳細分析了該組織從Quasar RAT 到njRAT的演變，在最近的攻擊中，BlindEagle再次使用了另一個開源RAT, Agent Tesla。這一戰略轉變表明其要加強其監控能力并擴大其目標范圍。

BlindEagle隨后將Remcos RAT添加到其工具集中，用于攻擊哥倫比亞的政府、私營公司和個人。最初的攻擊媒介是一封偽裝成來自政府或服務的電子郵件的網絡釣魚郵件。這封郵件包含一個鏈接，指向一個托管在Google Drive上的有密碼保護的壓縮文件，它代表了感染的第一階段，一個.NET二進制文件被混淆了，試圖把自己偽裝成OpenVPN二進制文件，而實際上它是一個惡意軟件加載程序。

最后的有效負載是一個加載的惡意軟件植入程序，Remcos RAT是該攻擊者在幾個月內采用的第四種遠程管理工具。

考慮到該組織缺乏資源和開發人才，這個攻擊者通過開源rat來提供它使用的植入程序，很令人意外。

俄語地區活動

從2022年底開始，一個新的未知APT組織對俄羅斯的多個目標發起攻擊。該組織通過發送帶有微軟Office文檔附件的魚叉式網絡釣魚郵件來攻擊受害者。這會啟動一個多級感染方案，導致安裝一個新的木馬，其主要目的是從受害者的設備上竊取文件，并通過執行任意命令獲得控制權。觀察到的第一波攻擊始于2022年10月，隨后是2023年4月的另一波攻擊，目標是攻擊數十名受害者，包括政府、軍事承包商、大學和醫院。研究人員目前無法將該活動與任何已知組織聯系起來，研究人員將這兩波攻擊稱為“BadRory”。

中文地區的活動

HoneyMyte的惡意軟件集合中一個比較獨特的組件，包括竊取基于網絡的生產力和來自各種瀏覽器的電子郵件服務的cookie。被盜的cookie稍后可以用來遠程訪問受害者的電子郵件帳戶。這些植入程序，從未在其他apt中被發現，今年6月開始在越南被觀察到。新的cookie竊取版本增加了對“Coc Coc”的支持，這是一種專門為越南市場打造的本地化瀏覽器。這些是研究人員在2019年8月首次報道的相同黑客工具的新變體，后來在2021年6月再次出現。

在2021年底，研究人員首次記錄了“Owowa”，這是一種惡意IIS后門模塊，自2020年以來主要針對亞洲目標發起攻擊。當時，研究人員表明Owowa可能是由一個說中文的研究者開發出來的。研究人員發現從2022年5月開始，一種更新的變體被專門用于攻擊俄羅斯的目標。研究人員后來將Owowa的部署與一個基于電子郵件的攻擊鏈聯系起來，該攻擊鏈模仿了已知的CloudAtlas活動。研究人員將利用Owowa和基于電子郵件的攻擊鏈攻擊俄羅斯共同目標的惡意攻擊稱為“GOFFEE”，目前該活動仍然非常活躍。

今年1月，研究人員報道了一種名為“TargetPlug”的內存植入程序，使用這種植入程序的操作集中在游戲領域，主要在韓國。今年4月，研究人員看到了涉及TargetPlug相關變體的新一波攻擊。值得注意的是，這些攻擊擴大了它們的范圍，包括位于西班牙和墨西哥的軟件和娛樂領域的目標。

TargetPlug的這些較新的迭代在其加載器組件中顯示了各種變化，惡意軟件架構師刪除了加載器中一個獨特的字符串，該字符串以前用作泄露泄露的標記，并引入了一個來自omniORB的字符串哈希算法，omniORB是一種開源的公共對象請求代理體系結構(CORBA)實現。

中東地區的活動

Dark Caracal是一個擁有國家級的高級攻擊組織，至少從2012年起就開始進行網絡間諜活動。該組織的攻擊目標是世界各地的政府、軍事、公用事業、金融機構、制造企業和國防承包商。這種攻擊者以竊取有價值的數據而聞名，包括知識產權和個人身份信息。

Dark Caracal被稱為“網絡雇傭軍攻擊組織”，因為它的攻擊目標多種多樣，而且明顯針對多個政府。據報道，自2021年以來，該組織的活動主要集中在西班牙語地區，主要是拉丁美洲。在追蹤Dark Caracal的活動時，研究人員發現了一個正在進行的針對多個西班牙語國家的公共和私營部門的活動。

StrongyPity(又名PROMETHIUM)是一個說土耳其語的攻擊組織，至少從2012年開始活躍。2016年，在意大利和比利時發生一系列針對用戶的攻擊后才首次曝光，當時它使用水坑攻擊來傳遞惡意版本的WinRAR和TrueCrypt。在2020年，研究人員發現了一個新版本的StrongPity植入程序，研究人員將其命名為StrongPity4，它似乎比以前的變體更先進，并在埃及、敘利亞和土耳其的少數受害者中被檢測到。

過去幾年，研究人員一直在監控攻擊者的活動。另一家中國供應商報告了針對中國的類似攻擊，并描述了攻擊者在特定受害者設備上部署的類似植入程序和各種模塊。雖然這些新模塊還沒有被公開，但研究人員能夠在中東和北非的目標上檢測到它們。

在最近的一份報告中，研究人員描述了這些額外的模塊，它們用于搜索受害者計算機上的相關文件，然后將其盜竊，以及記錄擊鍵和截取屏幕截圖。研究人員還發現了用于啟動主要StrongPity植入程序的加載器的新變體，并觀察到攻擊者活動擴展到新的國家：阿爾及利亞、黎巴嫩、亞美尼亞和伊朗。

在最近的調查中，研究人員發現了惡意的PowerShell腳本，表明這些腳本背后的攻擊者活躍在黎凡特地區多個知名的私人和公共組織中。研究人員的分析顯示，這個攻擊者的最新活動——BlackCrescent主要針對特定國家，即巴勒斯坦、敘利亞、黎巴嫩和伊朗。研究人員在這次調查中收集的樣本表明，該活動可能已經活躍了好幾年，至少可以追溯到2020年或更早。研究人員不確定這次活動是否與Lyceum組織有關。

Lyceum被認為是一個自2018年以來一直活躍的波斯語攻擊組織，可能是這個新出現的PowerShell工具集的幕后黑手。反過來，這個攻擊組織的間諜技術與多產的OilRig和臭名昭著的DNSpionage有一些明顯的相似之處。

BellaCiao是基于.NET的惡意軟件，與Charming Kitten(又名Newsbeef和APT35)有關。今年5月，研究人員發布了一份詳細的研究報告，調查了這個攻擊者迄今未報告的活動。最近，研究人員又發現了這種惡意軟件的新迭代，暴露了額外的命令和控制(C2)地址以及其方法的一些小變化。

通過整合和分析所有發現的樣本，研究人員能夠通過其PDB路徑揭示惡意軟件的開發和演變。

研究人員觀察到MuddyWater在惡意活動中利用了Ligolo，這是一個托管在GitHub上的開源反向隧道項目。微軟公布了一個名為“vpnui.exe”的樣本，該樣本被確定為Ligolo工具。然而，關于Ligolo如何工作的細節信息并不多，所以研究人員試圖揭示一些信息，重點關注它的自定義變體和攻擊者隱藏其操作的努力。研究人員的調查發現了兩個截然不同的文件，它們可以明確地歸類為定制的Ligolo工具。這些變體超越了Ligolo的標準功能，并試圖模仿思科和帕洛阿爾托的VPN解決方案。這些定制的Ligolo工具包含讓人想起真實VPN服務的元數據，有效地掩蓋了它們的真實性質。這種定制的主要目標是逃避檢測并在目標系統中保持隱蔽存在，使安全工具和安全人員難以識別它們是惡意的。

東南亞和朝鮮半島地區活動

研究人員發現了針對國防工業和核工程師的Lazarus攻擊。Lazarus使用木馬化的應用程序，特別是后門的VNC應用程序，訪問企業系統。

攻擊者在社交媒體上欺騙求職者打開惡意應用程序進行虛假面試，為了避免被基于行為的安全解決方案檢測，這個后門應用程序會謹慎地運行，只有當用戶從木馬化VNC客戶端的下拉菜單中選擇服務器時才會激活。應用程序將額外的有效負載啟動到內存中，并檢索更多的惡意代碼。通過分析，研究人員觀察到受害者的系統上安裝了一個額外的有效負載。一旦受害者執行了受感染的VNC客戶端，它就會觸發惡意軟件“LPEClient”進一步創建，該惡意軟件以前曾被Lazarus組織在多個場合使用過。它還采用復雜的C2通信方法，并通過解除用戶模式系統調用來禁用行為監控。

研究人員還發現了一個更新版本的COPPERHEDGE作為一個額外的后門，具有復雜的感染鏈。此外，研究人員觀察到存在專門設計用于將目標文件傳輸到遠程服務器的惡意軟件變體。這種特殊的惡意軟件的目的是盜取Lazarus組織選擇的特定文件，并將它們發送到指定的遠程服務器。通過分析，研究人員已經確認了許多被攻擊的公司。這些受影響的公司多是國防制造業，包括雷達系統、無人駕駛飛行器(uav)、軍用車輛、船舶、武器和海事公司。

此外，研究人員的觀察使研究人員確定了與初始感染相關的用戶名。隨后，研究人員證實這確實符合受害者的真實姓名。此人是匈牙利的一名核工程師，他在通過Telegram和WhatsApp與一個可疑賬戶聯系后收到了惡意文件。在對Origami Elephant的評估中，研究人員遇到了一個與Vtyrei和RTY感染鏈相似的初始感染樣本，從而將其歸類為Origami Elephant。然而，第一個和最后一個有效負載與典型的惡意軟件不同。經過仔細檢查，研究人員注意到RTY的感染鏈與下載程序之間存在相似之處，研究人員隨后將其命名為CSVtyrei。

CSVtyrei與用于部署RTY的下載程序Vtyrei驚人地相似。通過調查，研究人員發現了一個名為Firebird的基于.NET的新型后門，它有一個主加載程序和至少三個插件，所有樣本都通過ConfuserEx顯示出強大的保護，從而導致極低的檢測率。由于影響有限，研究人員只在巴基斯坦和阿富汗發現了少數受害者。樣本中的一些代碼似乎沒有什么功能，這意味著它們還在開發中。

在分析ScarCruft組織的活動時，研究人員偶然發現了一條新的感染鏈。它是由一個精心設計的宏嵌入Word文檔發起的，該文檔冒充用俄語寫的商業發票。一旦獲得了執行嵌入宏的權限，就會執行一個高度復雜的感染鏈。初始感染載體將相對較大的第一階段shellcode(包括安裝所需的附加包)注入合法的Windows進程中。一旦受害者的狀態得到驗證，shellcode將繼續安裝Windows資源工具包，使用它來建立持久的Windows服務。

此外，如果受害者的系統中不存在Python, shellcode會釋放Python包以允許進一步感染。然后，它將惡意Python腳本和下一階段的有效負載部署到受害者。這個過程在最終執行Windows可執行負載(不涉及任何磁盤)之前還要經過兩個shellcode階段，部署眾所周知的RokRat或BlueLight惡意軟件。最終的有效負載只使用云服務，如OneDrive, GoogleDrive, PCloud和BackBlaze進行C2操作和數據盜竊。在調查這個案例時，研究人員發現攻擊者為了測試目的攻擊了他們自己的主機，這讓研究人員對他們的測試環境有了了解。此外，研究人員的分析術表明，這次攻擊的目標與俄羅斯和朝鮮公司有關。

總結

雖然一些攻擊者的ttp隨著時間的推移保持一致，嚴重依賴社會工程作為在目標組織中獲得立足點或攻擊個人設備的手段，但其他人已經更新了他們的工具集并擴大了他們的活動范圍。

以下是研究人員在2023年第三季度看到的主要趨勢：

1.本季度的主要亮點包括，通過攻擊特定類型的安全USB驅動器對亞太地區政府機構進行攻擊，以及BlindEagle在拉丁美洲的活動，這說明并非所有APT事件都需要復雜的技術。

2.目前，幾乎所有攻擊者都在增強他們的工具集。例如，本季度ScarCruft的新型多階段感染鏈、BlindEagle使用的連續rat和MuddyWater對VPN應用程序的模擬。

3.研究人員還看到了一個新發現的攻擊者BadRory發起的攻擊。

4.APT活動在地理上仍然非常分散。本季度，研究人員看到黑客將攻擊目標集中在歐洲、南美、中東和亞洲多個地區。

5.研究人員已經看到了針對各種部門的攻擊，包括政府、軍事、國防、游戲、軟件、娛樂、公用事業、金融和制造業。

6.地緣政治仍是推動APT發展的關鍵因素，網絡間諜活動仍是APT活動的主要目標。

7.與往常一樣，在安全人員不斷努力增加防護的同時，攻擊者也在不斷迭代其攻擊功能。