卡巴斯基:2018年APT攻击年度回顾
在这一年之中,APT攻击最值得注意的发展是什么?我们可以从中学到什么?
要回答这个问题并不容易,我们每个人都只能看到其中的一个局部,并且可能永远无法真正理解某些攻击的动机或其背后的发展。尽管如此,在攻击发生之后,我们可以从不同的角度来解决问题,从而更好的理解所发生的事情。
一、大型恶意组织
在安全领域,有一些“经典”的恶意组织是众所周知的,并且在过去几年中被很多人广泛追踪。2018年,这些恶意组织一如既往地进行其恶意活动,其中有一些组织稍显低调。
实际上,这些恶意组织的技术水平和运营手段,决定了他们在得知自己已经进入公众视野之后所作出的反应。有些恶意组织会直接放弃他们的恶意活动,并进入到清理痕迹的阶段,而其他一些恶意组织会照常进行他们的活动。为了实现这一点,有一些参与者通常同时投入到几起恶意活动之中。这样一来,就允许这些恶意组织隔离他们的活动,如果他们被发现,可以直接改进其工具集,以避免下次被检测到。
我们发现了许多使用俄语的恶意组织,其中需要重点强调Sofacy、Turla和CozyBear在2018年的活动。
1.1 Sofacy
Sofacy可能是这三个恶意组织中最为活跃的。在整年中,我们在各类恶意活动中发现了该组织的活动,他们更新了他们的工具集,并被当局指定为几个恶意活动的幕后主使。我们已经看到一些恶意组织部署了针对大使馆和欧盟机构的Gamefish和DealersChoice框架的更新版本。其中,最引人注意的一起事件是,该恶意组织滥用Computrace LoJack,以便将他们的恶意软件部署在目标计算机上,这可以被视为是UEFI类型的Rootkit。
Zebrocy是恶意组织使用的工具之一,但实际上,使用这个工具的事件可以视为是恶意活动的一个分支。我们看到了Zebrocy工具的不断改进,包括增加了一个新的自定义收集器/下载器、实现反沙箱技术的新VBA、新的.NET模块。
在这一年中,我们发现Sofacy组织似乎正在结构层面上发生变化,并且可能已经分裂成了不同的组织。经过对OlympicDestroyer的分析,我们了解到这种高度复杂的伪装在某种程度上与Sofacy组织有关。然而,我们后来观察到欧洲和乌克兰发生了更多起OlympicDestroyer恶意活动,并决定将其视为名为Hades的实体。
值得注意的是,在GreyEnergy恶意活动开始后,我们发现GreyEnergy和Zebrocy之间存在相同之处,二者使用相同的基础设施以及相同的ICS 0day漏洞。
目前存在的所有证据,都将这个新出现的Hades组织与Zebrocy联系在一起,因此可以认定与Sofacy恶意组织相关,同时也作为BlackEnergy、GreyEnergy、Sandworm集群的一部分。
1.2 Turla
关于Turla,我们没有发现该组织发生任何重大的结构调整,但我们确实发现该组织使用了一些关键的植入工具,例如LightNeuron(针对Exchange服务器)以及一个新的后门(在2017年用于感染德国外交部以及欧盟其他实体)。
我们还发现了这一恶意组织在针对大使馆和外交事务机构的恶意活动中,使用了Carbon恶意软件的新变种。该组织也开始使用我们称之为Phoenix的新框架,并将其开发为横向移动的脚本,以及开源工具。
1.3 CozyDuke
在2018年11月,我们发现了CozyDuke组织的一些活动迹象,主要针对欧洲的外交机构和政府机构。该组织所使用的TTP,也曾在其他组织的恶意活动中被发现,因此我们推断该恶意软件可能同时被另一个恶意团队所使用。根据现有信息,我们仍认为该恶意软件是由CozyDuke开发的。我们仍然在持续跟进这一新的恶意活动,但近几个月来始终没有动作。
1.4 其他恶意组织
在2018年,同样值得一提的是Lazarus和BlueNoroff的恶意活动。我们观察到这两个恶意集团不断针对不同地区(包括土耳其、亚洲地区和拉丁美洲)发起恶意活动,主要目标锁定在能为其带来经济利益的业务(如赌场、金融机构、加密货币平台)。在最近的恶意活动中,该组织已经开始部署我们称之为ThreatNeedle的新型恶意软件。
二、伪装掩护
一些恶意组织在开展恶意活动时,偶尔会进行伪装掩护,这一点毫不奇怪。甚至,有一些伪装能轻松被识破,看起来非常可笑。除了技术细节本身外,研究人员还应该关注攻击的真实目的,并探究恶意软件中添加伪装掩护的原因。
我们得到的第一个结论是,攻击者目前非常清楚安全行业使用哪些技术来对攻击进行溯源,因此他们也滥用这些信息,来愚弄安全研究人员。另一个需要考虑的因素是,攻击的主要目标可能不一定是窃取信息或进行破坏,也有一些恶意人员在模仿知名的攻击者。
事实上,一些恶意组织可能目前正在做这样的事情。有一些恶意组织,在一段时间内曾销声匿迹,但现在又浮出水面。但是,他们这一次使用了不同的TTP,而所使用的TTP却不一定是更好的。相应的例子是CozyDuke和APT10,我们猜测这些恶意组织的工具目前被另一个组织所使用,可能这一组织仍然与原来的运营者具有关联性。这样做的目的,可能是使溯源变得更加困难,或者仅仅是为了确保他们的持续运营。
通过OlympicDestroyer的事件,我们发现了一个与Sofacy和BlackEnergy相关的新型组织,我们称之为Hades。在后续,我们还将持续关注这些伪装掩护的发展情况,以及恶意组织如何使用伪装掩护来试图掩盖他们的真实目的。
三、重出江湖的APT组织
在今年,我们还看到了几个“老朋友”,从沉睡中醒来,重新出现在我们的视野之中。在这一章,我们主要讨论一些著名的恶意组织,由于不明原因(可能是缺乏相应的监测)近年来没有发现有太大的动作,但近期又重新出现。其中,一些重出江湖的恶意组织似乎能力不如以往,推测可能是运营人员发生了变更,或者是想要掩盖他们的动作。另外也有一些恶意组织,重出江湖后仍然保持了原有的实力。
我们可以通过地理区域,来对这一年中重出江湖的恶意组织进行划分,排名第一的是东南亚地区,其次是中东。
3.1 东南亚地区
在东南亚地区,Kimsuky组织在今年年初开发了一个全新的工具集,并执行了一个名为WinNTI Umbrella的恶意活动。此外,最值得注意的是DarkHotel、LuckyMouse和APT10等恶意组织。
我们初步推断,OceanSalt恶意活动的幕后主使者是APT10,但目前尚不能保证这一推断的准确性。多年来,我们都没有监测到该恶意组织的活动,因此我们也认为该恶意组织不太可能重新出现。但基于现有信息,难以做出评估。
LuckyMouse是一个使用中文的恶意组织,在今年内始终保持活跃状态。该组织攻击了国家级数据中心,并使用了一个经过中国某安全相关软件厂商签名的驱动程序,对中亚地区的一些目标进行水坑攻击。在阿曼与印度达成协议后,该恶意组织涉嫌立即对阿曼发动了攻击。
Scarcruft组织使用了一个新型后门,我们将其称为PoorWeb,该恶意组织在今年年初的恶意活动中部署了0day,并使用专为三星设备设计的Android恶意软件。DarkHotel同样也以利用0day的新活动重新进入我们的视线,我们有一定证据认为Konni/Nokki恶意活动是该组织所为。
APT10组织将目标瞄准日本,其开发的恶意软件新版本如同OceanLotus一样,正持续对南亚地区的目标进行攻击。
3.2 中东地区
在中东,我们观察到Prince of Persia和OilRig这样的组织进行了一系列恶意活动。
此外,我们还发现了新的MuddyWaters恶意活动,以及GazaTeam、DesertFalcons和StrongPity的一系列针对该地区的恶意活动。
四、新出现的APT组织
与此同时,在这一年中,也产生了许多新出现的恶意组织,他们的活动范围也集中在中东和东南亚地区。
这些恶意活动,主要由ShaggyPanther、Sidewinder、CardinalLizard、TropicTrooper、DroppingElephant、Rancor、Tick group、NineBlog、Flyfox和CactusPete等亚洲组织进行,他们全年都在该地区活跃。这些恶意组织并不具备非常先进的技术,而是使用各种策略来实现他们的目标。这些组织通常都对特定区域的目标感兴趣,主要针对政府和军事目标。
在中东地区,我们发现了LazyMerkaats、FruityArmor、OpParliament、DarkHydrus和DomesticKitten这些恶意组织的活动。其中,Gorgon组织的一系列活动有些不合常规,因为他们还针对该地区以外的目标进行攻击。
最后,我们还发现了对东欧国家和前苏联国家表现出明显兴趣的新攻击活动,其幕后的恶意组织包括DustSquad、ParkingBear和Gallmaker,后者似乎对海外大使馆以及中东的军事和国防目标比较感兴趣。
五、针对知名目标的APT攻击
即使某些恶意活动似乎没有技术上的进步,但这并不意味着没有效果。回顾过去,我们可以找到一些公开的案例,这些攻击者针对具有国家背景的组织发动攻击,并重点收集重大战略研究和蓝图,而不仅仅是一些随机的数据。
我们有一些例子来证明这一观点。例如,APT15涉嫌攻击向英国政府的军事和技术部门提供服务的公司。Intezer提供了关于该恶意组织活动的额外详细信息,但目前尚不清楚最终的受害者是谁。
TEMP.Periscope涉嫌针对于南海有关的海事组织发动攻击,这并不是该行业成为目标的唯一案例,因为后来发现有一个不知名的恶意组织对意大利海军和国防工业相关的公司发动攻击。
像Thrip这样的恶意组织,主要针对美国和东南亚的卫星通信公司和国防组织。
据华盛顿邮报报道,美国海军海底战争中心遭到一个与中国国安局有关的恶意组织袭击,导致614GB的数据和图纸被盗。
其中一些恶意组织和受害者的重新出现其实并非巧合,一些观察者发现针对这些大型目标的攻击活动,都是在一些具体事件发生之后。
我们还观察到对世界各地的记者、活动家、持不同政见者和非政府组织的几次袭击,其中许多攻击都与向政府提供监控工具的企业开发的恶意软件相关。
举例来说,根据外部调查,在超过43个国家中发现了NSO组织活动的痕迹,以及其开发的Pegasus恶意软件,表明该领域的业务正在蓬勃发展。更具体而言,有报道曾经说明了为什么沙特持不同政见者和国际志愿者成为了这一恶意软件的目标。
Tibetan社区还专门发布不同的恶意软件系列,包括Linux后门程序、PowerShell Payload以及窃取凭据的虚假社交媒体。
最后,CitizenLab提供了一个恶意活动的详细信息,其中Sandvine和GammaGroup组件针对埃及、土耳其和叙利亚当地的ISP进行监控。
六、一种新型防御战略
这显然是一种新型战略,作为一种防御机制和对攻击者的回应,在某些情况下,一些国家的司法机构可以宣称某个个人为APT组织工作。这样的指控,可以转变成一种外交攻势,并且在国家层面导致更严重的后果。政府似乎不再羞于将这些攻击行为公之于众,他们可以提供具体的调查细节,并公开指责可疑的攻击者。这是一个有趣的发展趋势,并且在未来还能看到持续发展。
中美之间在奥巴马时代签订的网络协定告一段落,可能是使用中文的恶意组织卷土重来的一大原因,这些恶意组织针对一些备受瞩目的“大鱼”发动攻击。我们看到,在这两个国家的对抗期间,美国从比利时引渡了一名中国情报官员,他被指控多次企图对美国航空航天公司开展经济间谍活动,以窃取商业机密。
除此之外,美国还提供了一名朝鲜公民的信息,该人士涉嫌参与针对索尼娱乐的攻击,并且与WannaCry活动背后的Lazarus组织有关,目前也正在被FBI通缉。在这一年中,美国的CERT密切关注相关恶意活动,并积极提供了相关IoC、Lazarus(HiddenCobra)恶意活动分析以及该恶意组织使用的工具。
自从DNC入侵事件发生后,美国起诉了俄罗斯核心情报机构26165和74455部门的12名俄罗斯公民。同样,因涉嫌参与反对世界反兴奋机构的恶意活动,俄罗斯的7名政府官员也被起诉,该恶意活动暴露了俄罗斯国家赞助的兴奋剂计划。
在欧洲,英国官员和英国国家网络安全中心将2017年6月发生的Not-Petya攻击归咎于俄罗斯的军事组织。
此外,美国网络司令部发起了一场“信息战”运动,并向俄罗斯特工传递出一个信息,要求他们不要影响美国中期选举的进程。
上述案例表明,在处理黑客攻击事件时,似乎有一种新的途径,就是把事件的情况公之于众,并借助媒体宣传、谈判和外交手段,直接针对攻击行为的发起者采取措施。
七、硬件层面的攻击
恶意软件越接近硬件级别,就越难以检测和删除。但这对于攻击者来说,并不是一件容易的事,因为攻击者通常很难找到能深入系统地漏洞利用链,并且要开发在如此深层次上工作的可靠恶意软件并非易事。在这里,就要提出一个问题,恶意软件是否已经存在,并且在不知不觉中滥用现代CPU架构中存在的漏洞,而我们根本无从知晓?
近期发现的不同处理器中的漏洞,揭示了其中存在的安全隐患,因为更换CPU并不是一件容易的事情。目前,尚不清楚Meltdown/Spectre和AMDFlaws在未来会如何被利用和滥用,但攻击者并不需要过于匆忙,因为这些漏洞很可能还会存在很长时间。即使我们没有看到这些漏洞在野外被利用,但我们相信,对于攻击者来说这是一个非常有价值的信息,同时也提醒我们硬件安全的重要性。
我们在VPNFilter攻击中,发现了这一问题,该恶意软件大规模针对网络设备发动攻击,感染数十万台网络设备,控制网络流量,并允许中间人攻击。该攻击活动被归因到使用俄语的恶意组织,我们曾见过APT组织滥用网络设备,但从未见过如此激进的攻击方式。
八、其他方面
Triton/Trisis是一个以工业为目标的恶意活动,在今年内被发现,同时我们还怀疑其幕后的恶意组织使用0day攻击来破坏一些炼油厂。根据FireEye的说法,这一恶意组织可能与俄罗斯相关。
在我们的预测中,我们已经讨论过两个对立国家在局势紧张的时期,可能会将破坏性攻击转变为常规操作的可能性。与此同时,他们还会在公开攻击和采取外交手段这两个危险的灰色地带游走。
针对金融行业的攻击者,往往不会使用非常新型的技术,因为他们并不需要。Carbanak组织的一名领导人在西班牙被捕,该组织貌似群龙无首,但似乎并没有对今年的Fin7恶意活动产生任何影响。他们针对连锁餐饮集团部署了新型Griffon JavaScript后门。与此同时,该恶意组织的一个子组织CobonGoblin,也在频繁的针对银行发动攻击。
文章来源:工业互联网安全应急响应中心