2021年第三季度APT趨勢報告(上)
華語地區的活動
一名疑似為 HoneyMyte 的 APT 攻擊者修改了南亞某國傳播服務器上的指紋掃描儀軟件安裝程序包。APT 修改了一個配置文件,并將一個帶有 .NET 版本的 PlugX 注入器的 DLL 添加到安裝程序包中。在安裝時,即使沒有網絡連接,.NET 注入器也會解密 PlugX 后門載荷并將其注入新的 svchost 系統進程,并嘗試向 C2 發送信標。南亞某個國家的中央政府員工必須使用此生物識別包來支持記錄出勤。研究人員將此供應鏈事件和此特定 PlugX 變體稱為 SmudgeX,木馬安裝程序似乎已從 3 月就開始了。
在 2020 年和 2021 年期間,研究人員檢測到一個名為 ShadowShredder 的新 ShadowPad 加載模塊,該模塊用于攻擊多個國家/地區的關鍵基礎設施,包括但不限于印度、中國、加拿大、阿富汗和烏克蘭。經過進一步調查,研究人員還發現了通過 ShadowPad 和 ShadowShredder 部署的其他植入程序,例如 Quarian 后門、PlugX、Poison Ivy 和其他黑客工具。值得注意的是,Quarian 后門和 Poison Ivy 與之前針對中亞用戶的 IceFog 活動表現出相似之處。ShadowPad 是 APT 組織自 2017 年以來一直使用的高度復雜的模塊化網絡攻擊平臺。當時研究人員發表了一篇博客,詳細介紹了 ShadowPad 的技術細節及其最初發現后的供應鏈攻擊活動,當時它被稱為Barium或 APT41 的組織部署。在 2020 年第一季度,研究人員發布了有關發現 x64 ShadowPad 滴管樣本的私人報告。加載模塊使用了一種獨特的反分析技巧,該技巧涉及加載模塊在解密嵌入的 shellcode 之前,通過在加載模塊的內存空間中查看一些硬編碼字節來檢查它是否是通過特定的 EXE 文件加載的。研究人員最近發現的ShadowShredder加載器并沒有使用這種技術,而是采用了一種新的混淆方法。研究人員的報告討論了與 ShadowShredder 和 ShadowPad 有關的第二階段有效載荷的 ShadowShredder 和相關活動的技術分析。
ESET今年6月發表了一篇博客文章,描述了一場針對非洲和中東外交部長和電信公司的活動,他們稱之為“后門外交”(BackdoorDiplomacy)。研究人員非常自信地將此活動與CloudComputating的攻擊者聯系起來,該攻擊者以中東知名對象為目標。在調查中,ESET 發現了一個與 Windows 變體共享 C2 服務器的 Quarian Linux 變體樣本,據報道,該變體樣本是通過利用 F5 Networks 的 BIG-IP 流量管理用戶界面或配置實用程序中的已知 RCE 漏洞 (CVE-2020-5902) 部署的。一年前的 2020 年 7 月,SANS ISC 報告中還提到在 F5 BIG-IP 服務器上部署了相同的 Quarian ELF 二進制文件。本文擴展了對 Quarian Linux 變體及其與 Windows 版本的聯系的分析。
去年,研究人員描述了一場歸因于 CloudComputating 的活動,其中 APT 攻擊者利用了一個已知漏洞來破壞公開暴露的 Microsoft Exchange 服務器,并使用 China Chopper Web shell 感染它們。惡意載荷隨后被用于上傳其他惡意軟件,通常是自 2010 年左右開始被攻擊者使用的 Quarian 后門。該活動影響了埃塞俄比亞、巴勒斯坦和科威特。ESET 的博客文章使研究人員能夠將他們的活動與研究人員去年 6 月描述的活動聯系起來,并擴展研究人員之前的調查以尋找新的未知變體和受害者。本文也會介紹被稱為 Turian 的 ESET 版本、另外兩個以前未知的 Quarian 版本、用于生成惡意 Quarian 庫的構建器組件的概述以及 IoC 的擴展列表。
ExCone 是 3 月中旬開始針對俄羅斯聯邦目標發起的一系列攻擊,攻擊者利用 Microsoft Exchange 漏洞部署了一個被稱之為 FourteenHI 的以前未知的木馬。在研究人員之前的分析中,他們發現基礎設施和 TTP 與 ShadowPad 惡意軟件和 UNC2643 活動存在多種聯系。但是,研究人員無法將該攻擊歸因于任何已知的攻擊者。在研究人員的第一份報告之后,他們又發現了許多其他變體,它們擴展了研究人員對攻擊者和活動本身的了解。研究人員發現了針對大量目標的新惡意軟件樣本,受害者位于歐洲、中亞和東南亞。研究人員還觀察到其他各種供應商公開報告的一系列活動,研究人員能夠非常自信地將這些活動與ExCone關聯。最后,研究人員發現了一個新的惡意軟件樣本,它允許研究人員以將 ExCone 與 SixLittleMonkeys APT 組織聯系起來。具體來說,研究人員發現了一個被 FourteenHI 和另一個未知后門攻擊的受害者。這個新的“未知后門”與 FourteenHI 和 Microcin 有相似之處,Microcin 是一種專屬于 SixLittleMonkeys 的木馬。
本季度,研究人員還對南亞眾所周知的攻擊活動進行了調查。研究人員在 2019 年至 2021 年 6 月底期間發現了另一組針對印度航空航天和國防研究機構的 TTP,其中包含兩個以前未知的后門:LGuarian 和 HTTP_NEWS。前者似乎是 Quarian 后門的新變種,攻擊者也使用了它。通過跟蹤分析,研究人員獲得了有關攻擊者的后利用過程的大量信息,并能夠提供他們在此階段使用的各種工具的詳細信息,以及在受害者設備上執行的操作。這使研究人員能夠收集大量惡意軟件樣本,并發現攻擊者基礎設施。
6 月 3 日,Check Point 發布了一份關于針對東南亞政府被監控的報告,并將惡意活動歸咎于一個名為 SharpPanda 的攻擊者。
4 月,研究人員調查了許多模仿 Microsoft 更新安裝程序文件的惡意安裝程序文件,這些文件使用從一家名為 QuickTech.com 的公司竊取的數字證書進行簽名。這些虛假安裝程序展示了非常令人信服的視覺效果,這反映了攻擊者為使它們看起來合法而付出了大量努力。其最終的有效載荷是 Cobalt Strike 信標模塊,也配置了“microsoft.com”子域 C2 服務器。C2 域 code.microsoft[.]com 是一個閑置的 DNS 子域,攻擊者在 4 月 15 日左右注冊,偽裝成 Visual Studio Code 官方網站。受害者通過虛假的 Microsoft 更新目錄網頁被誘騙在他們的設備上下載和執行這些安裝程序,該網頁也托管在“microsoft.com”的另一個閑置的子域上。在調查惡意安裝程序文件時,研究人員遇到了其他惡意二進制文件,根據收集的線索,研究人員假設它們是由同一攻擊者開發和使用的,至少從 1 月到 6 月一直活躍。研究人員在本文中對這個攻擊者使用的擴展工具集進行了分析,并將其命名為 CraneLand。
7 月,研究人員在兩個公開批評中國且看似合法的網站上發現了可疑的 JavaScript (JS) 內容。混淆后的 JS 從遠程域名加載,該域名冒充 Google 品牌并啟動惡意 JS 載荷鏈。受感染的網站仍然包含 JS,但研究人員無法將任何其他惡意活動或基礎設施與這種水坑攻擊聯系起來。惡意 JS 似乎不符合傳統的網絡犯罪目標,與研究人員在其他水坑攻擊中觀察到的活動相比,其活動非常不尋常。研究人員認為惡意 JS 載荷旨在分析和針對來自香港、臺灣或中國大陸的個人。應仔細檢查與所述惡意域的任何連接,以查找后續的惡意活動。
