首页 > 清静研究 > 清静转达 > 清静通告

卡巴斯基 | 2020年Q1 APT趋势报告

宣布时间 2020-05-01

卡巴斯基宣布2020年第一季度的APT组织活动的趋势报告，主要说明重大的APT活动以及研究发明。

0x00 COVID-19 APT活动

自天下卫生组织（WHO）宣布COVID-19成为瘟疫以来，这一话题已受到差别攻击者越来越多的关注。许多网络垂纶诈骗都是由网络犯法分子提倡的，他们试图使用人们对病毒的恐惧来赚钱。可是，攻击者列表中还包括APT组织，例如Kimsuky，APT27，Lazarus或ViciousPanda，凭证OSINT，他们以COVID-19作为诱饵瞄准受害者。我们最近发明了可疑的基础设施可用于针对包括WHO在内的卫生和人性主义组织。据一些私人新闻泉源称，只管基础设施现在无法归因于任何特定的组织，并且已在2019年6月COVID-19�；白⒉�，但它可能与DarkHotel有关。可是，我们现在无法确认此信息。有趣的是，一些组织使用目今情形来宣布他们在�；贝换嵴攵晕郎橹�。

0x01 最值得注重的趋势

2020年1月，我们发明一个水坑攻击使用完全的远程iOS误差。这个网站的目的是凭证目的网页的内容来定位中国香港的用户。虽然目今正在使用的误差使用程序是已知的，但认真职员正在起劲修改误差使用工具包，以针对更多的iOS版本和装备。我们在2月7日视察到了最新的版本。该项目比我们最初想象的要普遍，它支持Android植入，并且可能支持Windows，Linux和MacOS的植入。现在，我们将此APT组织称为TwoSail Junk。我们以为这是一其中文组织，它主要在中国香港维护基础设施，并在新加坡和上海设有几个主机。TwoSail Junk通过在论坛宣布链接或建设自己的新主题来将会见者指导至其使用站点。至今，纪录了来自中国香港的数十次会见，其中一对来自中国澳门。

0x02 俄语相关的APT组织活动

1月，在一家东欧电信公司中发明了几个最近编译的SPLM/XAgent�？�。最初的进入点是未知的，它们在该组织内的横向运动也是未知的。与已往的Sofacy活动水平相比，险些无法识别SPLM熏染，因此似乎该公司内网可能已经熏染了一段时间。除了这些SPLM�？橹�，Sofacy还安排了.NET XTUNNEL变体及其加载程序。与已往的XTUNNEL样本（重量为1-2MB）相比，这些20KB的XTUNNEL样本自己似乎很少。long-standing Sofacy XTunnel代码库向C＃的转变使我们想起Zebrocy重新编码和使用多种语言来立异恒久使用的�？榈淖龇�。

Gamaredon是一个着名的APT组织，至少从2013年最先活跃，攻击目的主要针对乌克兰。近几个月来，我们发明了一个攻击活动，攻击者通过远程模板注入发送恶意文档，从而安排恶意加载程序，该加载程序会按期与远程C2联系以下载其他样本。凭证之前的研究，Gamaredon的工具包包括许多差别的恶意软件，用于实现差别的目的。其中包括扫描驱动器中的特定系统文件，捕获屏幕快照，执行远程下令，下载其他文件以及使用UltraVNC等程序管理远程盘算机。在这种情形下，我们视察到一个有趣的新的第二阶段payload，其具有撒播功效，我们称之为“Aversome infector”。该恶意软件可在目的网络中坚持长期性，并通过横向移动熏染外部驱动器上的Microsoft Word和Excel文档。

0x03 中文相关的 APT 组织活动

CactusPete是一个与中文相关的网络特工组织，至少从2012年最先活跃，其特征是具有中等水平的手艺能力。从历史上看，攻击目的主要针对韩国，日本，美国和中国台湾等少数国家/地区的组织。在2019年底，该组织似乎转向关注蒙古和俄罗斯，并使用蒙古语编写了一个诱饵攻击文档可释放Flapjack后门（tmplogon.exe，主要针对新的俄罗斯目的）�？杉米橹卣沽耸忠展婺�，并且使用的资源和要领也爆发了转变。

自2018年以来，Rancor是一个已经果真报道的组织，与DragonOK有关联。攻击目的专注于东南亚，即柬埔寨，越南和新加坡。我们注重到该组织在已往几个月中的活动有几处更新，发明了Dudell恶意软件的新变种ExDudell，ExDudell可以绕过UAC（用户帐户控制）并且用于攻击的新的基础架构。除此之外，我们还确定了以前通过邮件发送的初始诱饵文档现在可在Telegram Desktop目录中找到，这批注该组织可能正在改变其初始投递方法。

在2019年，我们检测到一个未知组织的活动，其时是在代表藏族利益的网站上的水坑攻击活动，诱骗受害者装置在GitHub存储库上托管的假Adobe Flash更新�？ò退够ü隚itHub合作来防御攻击。没过多久，我们又检测到新一轮水坑攻击。我们决议将此活动的组织命名为“Holy Water”。

自建设之日起，攻击者简朴而富有创意的工具就在一直开发和更新中，并使用了Sojson混淆，NSIS装置程序，Python，开源代码，GitHub刊行版，Go语言以及Google Drive等手艺手段。

0x04 中东地区的 APT 活动

我们最近在2020年2月检测到了StrongPity组织针对土耳其的数据泄露活动。只管StrongPity的TTP在目的，基础设施和熏染前言方面没有改变，但我们视察到他们试图泄露的文件有所差别。在此活动中，StrongPity更新了最新的署名后门，名为StrongPity2，并添加了更多文件以植入其常见的Office和PDF文档列表，包括用于希伯来遮掩的Dagesh Pro字处置惩罚器文件，用于河流流量和桥梁建模的RiverCAD文件，纯文本文件，归档文件以及GPG加密文件和PGP密钥。

3月，我们发明了WildPressure组织针对工业领域分发Milum木马的活动，旨在对目的组织中的装备举行远程控制。该活动最初可以追溯到2019年8月。到现在为止，我们看到的Milum示例与任何已知的APT活动没有任何代码相似性。该恶意软件使攻击者可以远程控制受熏染的装备，允许下载和执行下令，网络和泄露信息以及在恶意软件中装置升级程序。

在2019年12月下旬，卡巴斯基Threat Attribution Engine检测到Zerocleare的新变体Dustman，被用于针对沙特阿拉伯能源部分的攻击。在擦除和分发方面，它与Zerocleare相似，可是变量和手艺名称的转变批注，这可能已经准备好迎接针对恶意软件的新一波攻击，这些攻击基于嵌入在恶意软件中的新闻和建设的互斥体，专门针对沙特阿拉伯的能源部分。通过它。有关Dustman的PDB文件批注，该破损性代码是刊行版，可以在目的网络中安排。这些转变恰逢新年假期，在此时代许多员工正在休假。

0x05 东南亚和朝鲜半岛的APT活动

意大利清静公司Telsy在2019年11月概述了Lazarus组织的活动，使我们能够将针对加密钱币营业的先前活动联系起来。Telsy博客上提到的恶意软件是第一阶段下载程序，自2018年中以来一直被视察到。我们发明第二阶段恶意软件是Manuscrypt的变体，它是Lazarus的独吞属性，其安排了两种类型的payload。第一个是可使用的Ultra VNC程序，第二个是多级后门程序。这种类型的多阶段熏染历程是Lazarus组织恶意软件的典范特征，尤其是使用Manuscrypt变体。在此活动中，Lazarus组织攻击了塞浦路斯，美国，中国台湾和中国香港的加密钱币营业，该活动一直一连到2020年头。

自2013年以来我们一直跟踪的组织Kimsuky在2019年尤其活跃。12月，微软作废了该组织使用的50个域，并在弗吉尼亚州法院对攻击者提起了诉讼。可是，该小组继续开展活动，没有爆发重大转变。我们最近发明了一个新的活动，其中使用了以新年问候为主题的诱饵图片，该图片为旧下载工具提供了新的经由刷新的下一阶段payload，旨在使用新的加密要领来窃守信息。

1月尾，我们发明了使用Internet Explorer误差（CVE-2019-1367）的恶意剧本。在仔细检查payload并发明与先前活动的联系之后，我们得出结论，DarkHotel支持此活动，该活动可能自2018年以来一直在举行。该活动看到DarkHotel使用开发的软件实现了多阶段二进制熏染。最初的熏染会建设一个下载程序，该下载程序将获取另一个下载程序以网络系统信息，并仅为高价值受害者获取最终的后门程序。DarkHotel在此活动中使用了TTP的奇异组合。威胁者使用种种基础结构来托管恶意软件并控制受熏染的受害者，包括受熏染的Web服务器，商业托管服务，免费托管服务和免费源代码跟踪系统。

3月，来自Google的研究职员透露，一组黑客在2019年使用了五个0day攻击目的针对朝鲜人和以朝鲜人为中心的专业职员。该小组使用Internet Explorer，Chrome和Windows中的误差来举行网络垂纶和分发电子邮件，这些电子邮件中包括恶意附件或与恶意链接以及水坑攻击。我们能够将其中的两个误差划分为IE中的一个误差和Windows中的一个误差与DarkHotel组织匹配上。

FunnyDream组织活动始于2018年中，针对马来西亚，中国台湾和菲律宾的着名组织，其中大大都受害者来自越南。剖析批注，这只是一项更普遍攻击活动的一部分，该活动可以追溯到几年前，并针对东南亚国家的政府特殊是外国组织。攻击者的后门从C2下载文件和向C2上传文件，执行下令并在受害者系统中运行新历程。它还网络有关网络上其他主机的信息，并通过远程执行应用程序将其转达给新主机。攻击者还使用了RTL后门和Chinoxy后门。自2018年年中以来，C2基础设施一直处于活跃状态，并且domains与FFRAT恶意软件家族重叠。

Operation AppleJeus是Lazarus最有影响力的活动之一，主要使用MacOS恶意软件举行攻击。1月份的后续研究展现了该组织攻击要领的重大转变：新开发的macOS恶意软件和一种身份验证机制，可以审慎地交付下一阶段的payload，以及在不接触磁盘的情形下加载下一阶段的payload。为了攻击Windows受害者，该组织制订了一个多阶段熏染程序并更改了最终payload。我们以为，自从AppleJeus活动以来，Lazarus在攻击方面越发审慎，并接纳了多种要领来阻止被发明。我们在英国，波兰，俄罗斯和中国确定了几名受害者。别的，我们能够确认一些受害者与加密钱币组织有关。

Roaming Mantis是一个出于经济念头的APT组织，于2017年首次报道，其时该公司使用SMS将其恶意软件分发给位于韩国的Android装备。厥后该组织的活动规模扩大，支持27种语言，以iOS和Android为目的，甚至挖掘加密钱币。该组织还使用了新的恶意软件家族，包括Fakecop和Wroba.j，并且仍在使用“SMiShing”举行Android恶意软件分发。在最近的一项活动中，它分发了伪装成受接待的快递公司的恶意APK，主要针对日本，中国台湾，韩国和俄罗斯。

0x06 其它

TransparentTribe于2019年头最先使用名为USBWorm的新�？�，并对其名为CrimsonRAT的自界说.NET工具举行了刷新。凭证我们的遥测发明，USBWorm被用来熏染成千上万的受害者，其中大大都位于阿富汗和印度，使攻击者能够下载和执行恣意文件，撒播到可移动装备并从受熏染的主机窃取感兴趣的文件。正如我们之前报道的那样，该小组主要关注军事目的，这些目的通常受到Office文档中恶意VBA和Peppy RAT、CrimsonRAT等开源恶意软件的攻击。最近的新活动中，我们注重到该小组的重点更多地转向了针对印度以外的阿富汗。

在2019年的最后几个月中，我们视察到了Fishing Elephant正在举行的一项活动。该小组继续使用Heroku和Dropbox来交付其选择的工具AresRAT。我们发明，加入者在其操作中接纳了一项新手艺，该手艺旨在阻止手动和自动剖析geo-fencing和将可执行文件隐藏在证书文件中。在我们的研究历程中，我们还发明受害者的转变可能反应了攻击者的目今利益，该组织的目的是土耳其，巴基斯坦，孟加拉国，乌克兰和中国的政府和外交机构。

0x07 结语

只管威胁形势并不总是充满“突破性”事务，但当我们将眼光投向APT威胁行为者的活动时，总是会有有趣的生长。我们的按期季度审查旨在强调要害的生长。

这些是到现在为止我们今年已经看到的一些主要趋势。

● 地缘政治仍然是APT活动的主要助推力。

● Lazarus和Roaming Mantis的活动证实，经济利益仍然是某些攻击者的念头。

● 就APT活动而言，东南亚是最活跃的地区，包括Lazarus，DarkHotel和Kimsuky等组织，以及Cloud Snooper和Fishing Elephant等新兴组织。

● APT组织，例如CactusPete，TwoSail Junk，FunnyDream和DarkHotel，继续使用软件误差。

● APT组织继续将mobile implants纳入其武器库。

● APT组织（例如但不限于Kimsuky，Hades和DarkHotel）以实时机主义罪犯正在使用COVID-19。

总而言之，我们看到了亚洲攻击活动的一连增添，使用移动平台熏染和撒播恶意软件的趋势正在上升。

现在，COVID-19受到每小我私家的关注，而APT组织也一直在实验在鱼叉式网络垂纶活动中使用这一主题。我们以为这并不代表TTP爆发了有意义的转变：他们只是将其用作具有新闻价值的话题来吸引受害者。可是，我们正在亲近监视时势。

0x08 参考链接

https://securelist.com/apt-trends-report-q1-2020/96826/

0x09 时间线

2020-05-01 VSRC宣布报告

耀世娱乐-科技赋能场景,让娱乐更有趣。

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

耀世娱乐

网络清静防护

网络清静检测

应用清静

数据清静

清静管理

云清静

工控清静

移动及终端清静

密码应用清静

专业清静服务

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后服务

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系耀世娱乐

清静研究

卡巴斯基 | 2020年Q1 APT趋势报告

关于耀世娱乐

解决计划

清静研究

联系耀世娱乐

7*24小时服务热线