卡巴斯基全球研究与分析团队(GReAT)两年多来一直在发布高级持续威胁(APT)活动的季度摘要。这些摘要基于我们的威胁情报研究,提供了我们在私人APT报告中已发表和更详细讨论的内容的代表快照。它们旨在突出我们认为人们应该意识到的重大事件和发现。
尽管威胁形势并不总是充满“突破性”事件,但当我们将目光投向APT威胁参与者的活动时,总是会有有趣的发展。我们的定期季度审查旨在强调关键的发展。
这些是到目前为止我们今年已经看到的一些主要趋势。
从APT各个小组的活动中可以明显看出,包括CactusPete,LightSpy,Rancor,HolyWater,TwoSailJunk和其他组织,地缘*治是APT活动的重要推动力。
Lazarus的活动证明,金钱收益仍然是某些威胁行为者的动机。
就APT活动而言,东南亚是最活跃的地区,包括成熟的演员,如Lazarus,DarkHotel和Kimsuky,以及较新的团体,如CloudSnooper和FishingElephant。
APT威胁参与者,例如CactusPete,TwoSailJunk,FunnyDream和DarkHotel,继续利用软件漏洞。
APT威胁参与者继续将移动植入物纳入其武器库。
APT威胁者(例如但不限于Kimsuky,Hades和DarkHotel)以及机会主义罪犯正在利用COVID-19大流行。
以下是APT小组针对疫情发动不同类型的攻击进行总结。
1、最显着的发现00年1月,我们利用完整的远程iOS漏洞利用链发现了一个水坑。这个网站的目的是根据目标网页的内容来定位香港的用户。虽然当前正在使用的漏洞利用程序是已知的,但负责人员正在积极修改漏洞利用工具包,以针对更多的iOS版本和设备。我们在月7日观察到了最新的修改。该项目比我们最初想象的要广泛,它支持Android植入程序,并且可能支持Windows,Linux和MacOS的植入程序。目前,我们将此APT组称为TwoSailJunk。它主要在香港内部维护基础设施,并在新加坡和上海拥有一些主机。TwoSailJunk通过在论坛讨论线程中发布链接或创建自己的新主题线程来将访问者引导至其利用站点。至今,记录了来自香港的数十次访问,其中一对来自澳门。有关iOS植入程序功能(称为LightSpy)和相关基础结构的技术细节,揭示了一个中低端的行动者。但是,iOS植入程序是模块化且功能全面的iOS监视框架。
、俄语活动1月,在一家东欧电信公司中发现了几个最近编译的SPLM/XAgent模块。最初的进入点是未知的,它们在该组织内的横向运动也是未知的。与过去的Sofacy活动水平相比,很少能识别SPLM感染,因此似乎该网络的某些部分可能已经感染了一段时间。除了这些SPLM模块之外,Sofacy还部署了.NETXTUNNEL变体及其加载程序。与过去的XTUNNEL样本(重量为1-MB)相比,这些0KB的XTUNNEL样本本身似乎很少。长期的SofacyXTunnel代码库向C#的转变使我们想起了Zebrocy重新编码和创新多种语言的长期使用模块的实践。
Gamaredon是一个知名的APT小组,至少从年开始活跃,专注于乌克兰传统实体。在最近几个月中,我们观察到了一场由不同的浪潮组成的运动,也有许多研究人员在不同的社交网络上进行了报道。攻击者通过远程模板注入发送了恶意文档,从而导致了多级感染方案,以部署恶意加载程序,该加载程序会定期与远程C联系以下载其他样本。根据过去的研究,我们知道Gamaredon的工具包包含许多为实现不同目标而开发的不同恶意软件伪像。其中包括扫描驱动器中的特定系统文件,捕获屏幕截图,执行远程命令,下载其他文件以及使用UltraVNC等程序管理远程计算机。在这种情况下,我们观察到了一个有趣的新的第二阶段有效载荷,其中包括传播功能,我们称之为“Aversome感染者”。该恶意软件似乎是为了在目标网络中保持强大的持久性并通过感染外部驱动器上的MicrosoftWord和Excel文档而横向移动。
3、中文活动CactusPete是一个讲中文的网络间谍组织,至少从01年开始活跃,具有中等水平的技术能力。从历史上看,该威胁行为者的目标组织是韩国,日本,美国和台湾等少数国家/地区的组织。在年底,该组织似乎转向更加