首页 > 安全钻研 > 安全传递 > 安全公告

卡巴斯基 | 2020年Q1 APT趋向汇报

颁布功夫 2020-05-01

卡巴斯基颁布2020年第一季度的APT组织活动的趋向汇报，重要注明沉大的APT活动以及钻研发现。

0x00 COVID-19 APT活动

自世界卫生组织（WHO）颁发COVID-19成为瘟疫以来，这一话题已受到分歧攻击者越来越多的关注。很多网络垂钓诳骗都是由网络犯罪分子提议的，他们试牟利用人们对病毒的震惊来获利。但是，攻击者列表中还蕴含APT组织，例如Kimsuky，APT27，Lazarus或ViciousPanda，凭据OSINT，他们以COVID-19作为钓饵对准受害者。我们最近发现了可疑的基础设施可用于针对蕴含WHO在内的卫生和人路主义组织。据一些个人新闻起源称，只管基础设施目前无法归因于任何特定的组织，并且已在2019年6月COVID-19�；白⒉�，但它可能与DarkHotel有关。但是，我们目前无法确认此信息。有趣的是，一些组织利用当前情况来颁发他们在�；诩洳换嵴攵晕郎橹�。

0x01 最值妥贴心的趋向

2020年1月，我们发现一个水坑攻击利用齐全的远程iOS缝隙。这个网站的主张是凭据指标网页的内容来定位中国香港的用户。固然当前在使用的缝隙利用法式是已知的，但掌管人怨佚在积极批改缝隙利用工具包，以针对更多的iOS版本和设备。我们在2月7日观察到了最新的版本。该项目比我们最初设想的要宽泛，它支持Android植入，并且可能支持Windows，Linux和MacOS的植入。目前，我们将此APT组织称为TwoSail Junk。我们以为这是一个中文组织，它重要在中国香港守护基础设施，并在新加坡和上海设有几个主机。TwoSail Junk通过在论坛颁布链接或创建自己的新主题来将接见者疏导至其利用站点。至今，纪录了来自中国香港的数十次接见，其中一对来自中国澳门。

0x02 俄语有关的APT组织活动

1月，在一家东欧电信公司中发现了几个最近编译的SPLM/XAgent�？�。最初的进入点是未知的，它们在该组织内的横向活动也是未知的。与从前的Sofacy活动水平相比，险些无法鉴别SPLM习染，因而似乎该公司内网可能已经习染了一段功夫。除了这些SPLM�？橹�，Sofacy还部署了.NET XTUNNEL变体及其加载法式。与从前的XTUNNEL样本（沉量为1-2MB）相比，这些20KB的XTUNNEL样本自身似乎很少。long-standing Sofacy XTunnel代码库向C＃的转变使我们想起Zebrocy沉新编码和使用多种说话来创新持久使用的�？榈淖龇�。

Gamaredon是一个驰名的APT组织，至少从2013年起头活跃，攻击指标重要针对乌克兰。近几个月来，我们发现了一个攻击活动，攻击者通过远程模板注入发送恶意文档，从而部署恶意加载法式，该加载法式会定期与远程C2联系以下载其他样本。凭据之前的钻研，Gamaredon的工具包蕴含很多分歧的恶意软件，用于实现分歧的指标。其中蕴含扫描驱动器中的特定系统文件，捕获屏幕快照，执行远程号令，下载其他文件以及使用UltraVNC等法式治理远程推算机。在这种情况下，我们观察到一个有趣的新的第二阶段payload，其拥有传布职能，我们称之为“Aversome infector”。该恶意软件可在指标网络中维持悠久性，并通过横向移动习染表部驱动器上的Microsoft Word和Excel文档。

0x03 中文有关的 APT 组织活动

CactusPete是一个与中文有关的网络间谍组织，至少从2012年起头活跃，其特点是拥有中等水平的技术能力。从汗青上看，攻击指标重要针对韩国，日本，美国和中国台湾等少数国度/地域的组织。在2019年底，该组织似乎转向关注蒙古和俄罗斯，并使用蒙古语编写了一个钓饵攻击文档可开释Flapjack后门（tmplogon.exe，重要针对新的俄罗斯指标）�？杉米橹卣沽思际趿煊�，并且使用的资源和步骤也产生了变动。

自2018年以来，Rancor是一个已经公开报路的组织，与DragonOK有关联。攻击指标专一于东南亚，即柬埔寨，越南和新加坡。我们把稳到该组织在从前几个月中的活动有几处更新，发现了Dudell恶意软件的新变种ExDudell，ExDudell能够绕过UAC（用户帐户节造）并且用于攻击的新的基础架构。除此之表，我们还确定了以前通过邮件发送的初始钓饵文档此刻可在Telegram Desktop目录中找到，这批注该组织可能在扭转其初始投递方式。

在2019年，我们检测到一个未知组织的活动，其时是在代表藏族利益的网站上的水坑攻击活动，糊弄受害者装置在GitHub存储库上托管的假Adobe Flash更新�？ò退够ü隚itHub合作来防御攻击。没过多久，我们又检测到新一轮水坑攻击。我们决定将此活动的组织定名为“Holy Water”。

自成立之日起，攻击者单一而富有创意的工具就在不休开发和更新中，并利用了Sojson混合，NSIS装置法式，Python，开源代码，GitHub刊行版，Go说话以及Google Drive等技术伎俩。

0x04 中东地域的 APT 活动

我们最近在2020年2月检测到了StrongPity组织针对土耳其的数据泄露活动。只管StrongPity的TTP在指标，基础设施和习染媒介方面没有扭转，但我们观察到他们试图泄露的文件有所分歧。在此活动中，StrongPity更新了最新的署名后门，名为StrongPity2，并增长了更多文件以植入其常见的Office和PDF文档列表，蕴含用于希伯来装点的Dagesh Pro字处置器文件，用于河道流量和桥梁建模的RiverCAD文件，纯文本文件，归档文件以及GPG加密文件和PGP密钥。

3月，我们发现了WildPressure组织针对工业领域分发Milum木马的活动，旨在对指标组织中的设备进行远程节造。该活动最初能够追忆到2019年8月。到目前为止，我们看到的Milum示例与任何已知的APT活动没有任何代码类似性。该恶意软件使攻击者能够远程节造受习染的设备，允许下载和执行号令，网络和泄露信息以及在恶意软件中装置升级法式。

在2019年12月下旬，卡巴斯基Threat Attribution Engine检测到Zerocleare的新变体Dustman，被用于针对沙特阿拉伯能源部门的攻击。在擦除和分发方面，它与Zerocleare类似，但是变量和技术名称的变动批注，这可能已经筹备好迎接针对恶意软件的新一波攻击，这些攻击基于嵌入在恶意软件中的新闻和创建的互斥体，专门针对沙特阿拉伯的能源部门。通过它。有关Dustman的PDB文件批注，该粉碎性代码是刊行版，能够在指标网络中部署。这些变动恰逢新年假期，在此期间很多员工在休假。

0x05 东南亚和朝鲜半岛的APT活动

意大利安全公司Telsy在2019年11月概述了Lazarus组织的活动，使我们可能将针对加密钱币业务的先前活动联系起来。Telsy博客上提到的恶意软件是第一阶段下载法式，自2018年中以来一向被观察到。我们发现第二阶段恶意软件是Manuscrypt的变体，它是Lazarus的独有属性，其部署了两种类型的payload。第一个是可把持的Ultra VNC法式，第二个是多级后门法式。这种类型的多阶段习染过程是Lazarus组织恶意软件的典型特点，尤其是使用Manuscrypt变体。在此活动中，Lazarus组织攻击了塞浦路斯，美国，中国台湾和中国香港的加密钱币业务，该活动一向持续到2020岁首。

自2013年以来我们一向跟踪的组织Kimsuky在2019年尤其活跃。12月，微软撤销了该组织使用的50个域，并在弗吉尼亚州法院对攻击者提起了诉讼。但是，该幼组持续发展活动，没有产生沉大变动。我们最近发现了一个新的活动，其中使用了以新年问候为主题的钓饵图片，该图片为旧下载工具提供了新的经过改进的下一阶段payload，旨在利用新的加密步骤来窃守信息。

1月底，我们发现了利用Internet Explorer缝隙（CVE-2019-1367）的恶意剧本。在仔细查抄payload并发现与先前活动的联系之后，我们得出结论，DarkHotel支持此活动，该活动可能自2018年以来一向在进行。该活动看到DarkHotel利用开发的软件实现了多阶段二进造习染。最初的习染会创建一个下载法式，该下载法式将获取另一个下载法式以网络系统信息，并仅为高价值受害者获取最终的后门法式。DarkHotel在此活动中使用了TTP的怪异组合。威胁者使用各类基础结构来托管恶意软件并节造受习染的受害者，蕴含受习染的Web服务器，贸易托管服务，免费托管服务和免费源代码跟踪系统。

3月，来自Google的钻研人员泄漏，一组黑客在2019年使用了五个0day攻击指标针对朝鲜人和以朝鲜报答中心的专业人员。该幼组利用Internet Explorer，Chrome和Windows中的缝隙来进行网络垂钓和分发电子邮件，这些电子邮件中蕴含恶意附件或与恶意链接以及水坑攻击。我们可能将其中的两个缝隙别离为IE中的一个缝隙和Windows中的一个缝隙与DarkHotel组织匹配上。

FunnyDream组织活动始于2018年中，针对马来西亚，中国台湾和菲律宾的驰名组织，其中大无数受害者来自越南。分析批注，这只是一项更宽泛攻击活动的一部门，该活动能够追忆到几年前，并针对东南亚国度确当局出格是表国组织。攻击者的后门从C2下载文件和向C2上传文件，执行号令并在受害者系统中运行新过程。它还网络有关网络上其他主机的信息，并通过远程执行利用法式将其传递给新主机。攻击者还使用了RTL后门和Chinoxy后门。自2018年年中以来，C2基础设施一向处于活跃状态，并且domains与FFRAT恶意软件家族沉叠。

Operation AppleJeus是Lazarus最有影响力的活动之一，重要利用MacOS恶意软件进行攻击。1月份的后续钻研揭示了该组织攻击步骤的沉大变动：新开发的macOS恶意软件和一种身份验证机造，能够审慎地交付下一阶段的payload，以及在不接触磁盘的情况下加载下一阶段的payload。为了攻击Windows受害者，该组织造订了一个多阶段习染法式并更改了最终payload。我们以为，自从AppleJeus活动以来，Lazarus在攻击方面越发审慎，并采取了多种步骤来预防被发现。我们在英国，波兰，俄罗斯和中国确定了几名受害者。此表，我们可能确认一些受害者与加密钱币组织有关。

Roaming Mantis是一个出于经济动机的APT组织，于2017年初次报路，其时该公司使用SMS将其恶意软件分发给位于韩国的Android设备。后来该组织的活动领域扩大，支持27种说话，以iOS和Android为指标，甚至挖掘加密钱币。该组织还使用了新的恶意软件家族，蕴含Fakecop和Wroba.j，并且仍在使用“SMiShing”进行Android恶意软件分发。在最近的一项活动中，它分发了假装成受迎接的快递公司的恶意APK，重要针对日本，中国台湾，韩国和俄罗斯。

0x06 其它

TransparentTribe于2019岁首起头使用名为USBWorm的新�？�，并对其名为CrimsonRAT的自界说.NET工具进行了改进。凭据GA黄金甲遥测发现，USBWorm被用来习染成千上万的受害者，其中大无数位于阿富汗和印度，使攻击者可能下载和执行肆意文件，传布到可移动设备并从受习染的主机窃取感兴致的文件。正如我们之前报路的那样，该幼组重要关注军事指标，这些指标通常受到Office文档中恶意VBA和Peppy RAT、CrimsonRAT等开源恶意软件的攻击。最近的新活动中，我们把稳到该幼组的沉点更多地转向了针对印度以表的阿富汗。

在2019年的最后几个月中，我们观察到了Fishing Elephant在进行的一项活动。该幼组持续使用Heroku和Dropbox来交付其选择的工具AresRAT。我们发现，参加者在其操作当选取了一项新技术，该技术旨在阻止手动和自动分析geo-fencing和将可执行文件暗藏在证书文件中。在GA黄金甲钻研过程中，我们还发现受害者的变动可能反映了攻击者确当前利益，该组织的指标是土耳其，巴基斯坦，孟加拉国，乌克兰和中国确当局和表交机构。

0x07 结语

只管威胁局势并不总是充斥“突破性”事务，但当我们将眼光投向APT威胁行为者的活动时，总是会有有趣的发展。GA黄金甲定期季度审查旨在强调关键的发展。

这些是到目前为止我们今年已经看到的一些重要趋向。

● 地缘政治依然是APT活动的重要助推力。

● Lazarus和Roaming Mantis的活动证明，经济利益依然是某些攻击者的动机。

● 就APT活动而言，东南亚是最活跃的地域，蕴含Lazarus，DarkHotel和Kimsuky等组织，以及Cloud Snooper和Fishing Elephant等新兴组织。

● APT组织，例如CactusPete，TwoSail Junk，FunnyDream和DarkHotel，持续利用软件缝隙。

● APT组织持续将mobile implants纳入其兵器库。

● APT组织（例如但不限于Kimsuky，Hades和DarkHotel）以及机遇主义罪犯在利用COVID-19。

总而言之，我们看到了亚洲攻击活动的持续增长，使用移动平台习染和传布恶意软件的趋向在上升。

目前，COVID-19受到每幼我的关注，而APT组织也一向在尝试在鱼叉式网络垂钓活动中利用这一主题。我们以为这并不代表TTP产生了有意思的变动：他们只是将其用作拥有新闻价值的话题来吸引受害者。但是，我们在亲昵监督大势。

0x08 参考链接

https://securelist.com/apt-trends-report-q1-2020/96826/

0x09 功夫线

2020-05-01 VSRC颁布汇报

GA黄金甲·(中国区)官方网站

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研

卡巴斯基 | 2020年Q1 APT趋向汇报

关于GA黄金甲

解决规划

安全钻研

联系GA黄金甲

7*24幼时服务热线