2021年第三季度APT趋势报告(上)
华语地区的活动
一名疑似为 HoneyMyte 的 APT 攻击者修改了南亚某国传播服务器上的指纹扫描仪软件安装程序包。APT 修改了一个配置文件,并将一个带有 .NET 版本的 PlugX 注入器的 DLL 添加到安装程序包中。在安装时,即使没有网络连接,.NET 注入器也会解密 PlugX 后门载荷并将其注入新的 svchost 系统进程,并尝试向 C2 发送信标。南亚某个国家的中央政府员工必须使用此生物识别包来支持记录出勤。研究人员将此供应链事件和此特定 PlugX 变体称为 SmudgeX,木马安装程序似乎已从 3 月就开始了。
在 2020 年和 2021 年期间,研究人员检测到一个名为 ShadowShredder 的新 ShadowPad 加载模块,该模块用于攻击多个国家/地区的关键基础设施,包括但不限于印度、中国、加拿大、阿富汗和乌克兰。经过进一步调查,研究人员还发现了通过 ShadowPad 和 ShadowShredder 部署的其他植入程序,例如 Quarian 后门、PlugX、Poison Ivy 和其他黑客工具。值得注意的是,Quarian 后门和 Poison Ivy 与之前针对中亚用户的 IceFog 活动表现出相似之处。ShadowPad 是 APT 组织自 2017 年以来一直使用的高度复杂的模块化网络攻击平台。当时研究人员发表了一篇博客,详细介绍了 ShadowPad 的技术细节及其最初发现后的供应链攻击活动,当时它被称为Barium或 APT41 的组织部署。在 2020 年第一季度,研究人员发布了有关发现 x64 ShadowPad 滴管样本的私人报告。加载模块使用了一种独特的反分析技巧,该技巧涉及加载模块在解密嵌入的 shellcode 之前,通过在加载模块的内存空间中查看一些硬编码字节来检查它是否是通过特定的 EXE 文件加载的。研究人员最近发现的ShadowShredder加载器并没有使用这种技术,而是采用了一种新的混淆方法。研究人员的报告讨论了与 ShadowShredder 和 ShadowPad 有关的第二阶段有效载荷的 ShadowShredder 和相关活动的技术分析。
ESET今年6月发表了一篇博客文章,描述了一场针对非洲和中东外交部长和电信公司的活动,他们称之为“后门外交”(BackdoorDiplomacy)。研究人员非常自信地将此活动与CloudComputating的攻击者联系起来,该攻击者以中东知名对象为目标。在调查中,ESET 发现了一个与 Windows 变体共享 C2 服务器的 Quarian Linux 变体样本,据报道,该变体样本是通过利用 F5 Networks 的 BIG-IP 流量管理用户界面或配置实用程序中的已知 RCE 漏洞 (CVE-2020-5902) 部署的。一年前的 2020 年 7 月,SANS ISC 报告中还提到在 F5 BIG-IP 服务器上部署了相同的 Quarian ELF 二进制文件。本文扩展了对 Quarian Linux 变体及其与 Windows 版本的联系的分析。
去年,研究人员描述了一场归因于 CloudComputating 的活动,其中 APT 攻击者利用了一个已知漏洞来破坏公开暴露的 Microsoft Exchange 服务器,并使用 China Chopper Web shell 感染它们。恶意载荷随后被用于上传其他恶意软件,通常是自 2010 年左右开始被攻击者使用的 Quarian 后门。该活动影响了埃塞俄比亚、巴勒斯坦和科威特。ESET 的博客文章使研究人员能够将他们的活动与研究人员去年 6 月描述的活动联系起来,并扩展研究人员之前的调查以寻找新的未知变体和受害者。本文也会介绍被称为 Turian 的 ESET 版本、另外两个以前未知的 Quarian 版本、用于生成恶意 Quarian 库的构建器组件的概述以及 IoC 的扩展列表。
ExCone 是 3 月中旬开始针对俄罗斯联邦目标发起的一系列攻击,攻击者利用 Microsoft Exchange 漏洞部署了一个被称之为 FourteenHI 的以前未知的木马。在研究人员之前的分析中,他们发现基础设施和 TTP 与 ShadowPad 恶意软件和 UNC2643 活动存在多种联系。但是,研究人员无法将该攻击归因于任何已知的攻击者。在研究人员的第一份报告之后,他们又发现了许多其他变体,它们扩展了研究人员对攻击者和活动本身的了解。研究人员发现了针对大量目标的新恶意软件样本,受害者位于欧洲、中亚和东南亚。研究人员还观察到其他各种供应商公开报告的一系列活动,研究人员能够非常自信地将这些活动与ExCone关联。最后,研究人员发现了一个新的恶意软件样本,它允许研究人员以将 ExCone 与 SixLittleMonkeys APT 组织联系起来。具体来说,研究人员发现了一个被 FourteenHI 和另一个未知后门攻击的受害者。这个新的“未知后门”与 FourteenHI 和 Microcin 有相似之处,Microcin 是一种专属于 SixLittleMonkeys 的木马。
本季度,研究人员还对南亚众所周知的攻击活动进行了调查。研究人员在 2019 年至 2021 年 6 月底期间发现了另一组针对印度航空航天和国防研究机构的 TTP,其中包含两个以前未知的后门:LGuarian 和 HTTP_NEWS。前者似乎是 Quarian 后门的新变种,攻击者也使用了它。通过跟踪分析,研究人员获得了有关攻击者的后利用过程的大量信息,并能够提供他们在此阶段使用的各种工具的详细信息,以及在受害者设备上执行的操作。这使研究人员能够收集大量恶意软件样本,并发现攻击者基础设施。
6 月 3 日,Check Point 发布了一份关于针对东南亚政府被监控的报告,并将恶意活动归咎于一个名为 SharpPanda 的攻击者。
4 月,研究人员调查了许多模仿 Microsoft 更新安装程序文件的恶意安装程序文件,这些文件使用从一家名为 QuickTech.com 的公司窃取的数字证书进行签名。这些虚假安装程序展示了非常令人信服的视觉效果,这反映了攻击者为使它们看起来合法而付出了大量努力。其最终的有效载荷是 Cobalt Strike 信标模块,也配置了“microsoft.com”子域 C2 服务器。C2 域 code.microsoft[.]com 是一个闲置的 DNS 子域,攻击者在 4 月 15 日左右注册,伪装成 Visual Studio Code 官方网站。受害者通过虚假的 Microsoft 更新目录网页被诱骗在他们的设备上下载和执行这些安装程序,该网页也托管在“microsoft.com”的另一个闲置的子域上。在调查恶意安装程序文件时,研究人员遇到了其他恶意二进制文件,根据收集的线索,研究人员假设它们是由同一攻击者开发和使用的,至少从 1 月到 6 月一直活跃。研究人员在本文中对这个攻击者使用的扩展工具集进行了分析,并将其命名为 CraneLand。
7 月,研究人员在两个公开批评中国且看似合法的网站上发现了可疑的 JavaScript (JS) 内容。混淆后的 JS 从远程域名加载,该域名冒充 Google 品牌并启动恶意 JS 载荷链。受感染的网站仍然包含 JS,但研究人员无法将任何其他恶意活动或基础设施与这种水坑攻击联系起来。恶意 JS 似乎不符合传统的网络犯罪目标,与研究人员在其他水坑攻击中观察到的活动相比,其活动非常不寻常。研究人员认为恶意 JS 载荷旨在分析和针对来自香港、台湾或中国大陆的个人。应仔细检查与所述恶意域的任何连接,以查找后续的恶意活动。
