2019第三季度APT分析报告

重要发现

8月30日，谷歌zero项目团队的伊恩•比尔（ian beer）发表了一份在野发现的14个ios零日漏洞的分析报告，这些漏洞已经在5个攻击链中使用，以提升攻击者的权限。
据谷歌称，一些网站早在3年前就在通过水坑攻击利用漏洞进行攻击。虽然报告中没有关于水坑网站的详细信息或者其是否仍然处于活动状态，但这些网站每周仍然有数千名访问者。
用于感染访问者的第一阶段webkit漏洞不存在差异性，该漏洞在浏览器（如chrome）中也会起作用。缺乏对受害者的区分将意味着攻击者没有很强针对性，但对网站访客数量的估算，攻击的目标是一些社区组织。很可能这些网站发布了一些共同的话题。
报告中没有很多关于这次攻击的攻击者的详细信息，但是从攻击者运用的较高的技术方法和漏洞利用链的长期更新来看，其背后有强大的资源支撑。目标一旦受感染，恶意软件本身对受害者是不可见的。它每60秒发出一次C2指令。它还可以访问系统中的各种文件，以及GPS位置。攻击者没有办法阻止机器重启但是窃取到的cookie值可以为攻击者提供长期数据访问的权限。
在谷歌发布报告后不久，VoxeHead发布了更多的关于水坑网站的详细信息，并指出“针对**尔人的战略网络攻击”活动。Citizen Lab指出在2018年11月至2019年5月期间，攻击者冒充非政府组织工作人员、记者或其他身份，在WhatsApp中使用恶意链接攻击**团体中的高级成员。这些链接利用网络浏览器漏洞在ios和android设备上安装间谍软件，或被设计为钓鱼页面。
2019年9月初，漏洞经纪公司Zerodium表示，Android的零日漏洞价值已经超过了iOS，经纪公司现愿意支付250万美元购买Android的0-day。这已经大大超过了远程iOS越狱200万美元的价格。相比之下，Zerodium还减少了苹果一键式攻击的支出。同一天，在Android媒体驱动程序V412（Video4Linux）中发现了一个严重的提权0-day。谷歌9月份的安全更新中没有包含此漏洞。几天后，安卓系统的一个缺陷被发现，使得超过10亿的三星、华为、LG和索尼智能手机容易受到攻击，攻击者能够使用短**问受损设备上的电子邮件。

俄罗斯方面

Turla（又名enomous Bear, Uroburos , Waterbug）对其工具集进行了大量更新。在调查中亚地区的恶意活动时，发现了一个新的后门，分析认为该后门很可能是该组织研发。这个名为tunnus的恶意软件是一个基于.net的后门程序，能够在受感染的系统上远程命令执行并对文件操作，可以将结果发送到其c2服务器。到目前为止，c2站点是使用wordpress构建的，该后门截至7月份仍在活跃中。
Turla还将JavaScriptKopiluwak恶意软件包装在一个名为topinambour的传播工具中，这是一个新的.net文件，该组织正在使用该文件通过受感染的程序（如VPN）传播Kopiluwak。其中新增了一些技术手段帮助Turla逃避检测。例如，c2基础设施使用的ip地址与普通的lan地址相似。该恶意软件几乎完全“无文件”，感染的最后阶段，用于远程管理的加密木马被加入到计算机的注册表中，以便恶意软件在准备完毕后访问。
两个类似的Kopiluwak程序，.net rocketman木马和powershell miamibeach木马都用于网络间谍活动。分析认为攻击体部署这些版本时，他们的目标受到能够检测Kopiluwak的安全软件的保护。所有这三种木马都可以识别目标，收集系统和网络适配器上的信息，窃取文件，下载并执行其他恶意软件，Miamibeach还有拍摄截图功能。
今年9月，Zebrocy在欧洲各地对北约和联盟的多个组织进行网络钓鱼攻击，攻击者试图获取电子邮件、登陆凭据和敏感文件。此活动与过去的Zebrocy活动相似，在电子邮件中使用与目标相关的内容，压缩包含无害文档的附件，带有已更改图标和文件名相同的可执行文件。该组还利用远程word模板从合法的dropbox文件共享站点中提取内容。

中国方面

Honeymite（又名Temp.Hex和Mustang Panda）已经活跃了好几年，在过去的几年里，它采用了不同的技术来进行攻击，并专注于各种目标的配置文件。
在之前的攻击中，从2018年年中开始，攻击者部署了plugx植入，以及类似与cobaltstrick的多阶段powershell脚本。攻击活动的目标是缅甸、蒙古、埃塞俄比亚、越南和孟加拉国的政府组织。
近期分析了一组来自honeymite的新活动，攻击工具包括：

（a）plugx植入；
（b）一个类似cobaltstrick stager和stage dropper的多阶段powershell和vb脚本、.net可执行文件、cookie窃取程序等；
（c）a利用dns劫持恶意软件进行arp投毒，通过http向目标推送flash和微软更新，以便横向移动；
（d）各种系统和网络实体。根据目标情况其主要动机之一是收集地理政治和经济情报。
自2019年初以来，在中亚和中东都观察到了luckymouse活动的激增。对于这些新的运动，袭击者集中在电信运营商，大学和政府。感染媒介是直接攻击、鱼叉式网络钓鱼和水坑攻击。Luckymouse没有改变任何TTP（战术、技术和程序），继续依靠自己的工具在受害者的网络中渗透。新的攻击活动包括第一阶段的httpbrowser和第二阶段植入的soldier木马。在9月份发表关于luckymouse的最新报道时，攻击活动仍然活跃。
2018年1月的报告“ShaggyPanther – Chinese-speaking cluster of activity in APAC”介绍了ShaggyPather，这是一个以前未被发现的针对台湾和马来西亚的恶意软件和入侵工具集。相关的组件和活动可以追溯到十多年前，类似的代码可以根据时间戳追溯到2004年。此后在另外几个地方也检测到了shaggypanther活动。最近的一次发生在7月份印度尼西亚的服务器上，3月份在叙利亚的服务器上也发现了该活动。2018年和2019年后门代码存在新的混淆功能，不再有明文C2字符串。自最初发布以来，研究人员使用sinochopper/chinachopper从攻击者上识别出了一个初始的服务器端感染载体。sinochopper不仅用于主机识别和后门，还用于电子邮件盗窃和其他活动。

中东方面

8月1日，Dragos发表了一篇名为“石油和天然气威胁展望摘要”的攻击综述，其中提到了一个被称为Hexane的新攻击组织。
报告称，“Hexane的目标是非洲、中东和南亚的油气和电信业”。Dragos声称，他在2019年5月分析确认了该组织，并将其与Oilrig、Chrysene联系了起来。尽管没有公开ioc，但一些研究人员在twitter上分享了hash。
分析表明Hexane与OilRig在TTP上的相似之处，dragos在其研究中也曾提到。最近Dookhtegan实验室和Greenleakers实验室对于这个组织出现提出了几个假设：由于曝光和泄漏问题，OilRig可能只是改变了它的工具集并继续像往常一样运行；OilRig的TTP被一个有着相似兴趣的新组织采用。
Hexane活动始于2018年9月左右，第二波活动始于2019年5月。在所有情况下，攻击中使用的手法都相对简单。传播介质的不断进化表明了该组织处于反复试验的时期，攻击者正在测试如何最好地逃避检测。
TortoiseShell 是由赛门铁克于2019年9月18日披露的与未知apt攻击有关的新活动。赛门铁克声称，活动首次出现在2018年7月，一年后仍然活跃。
到目前为止，分析表明所有注册的攻击都在沙特。赛门铁克的报告也证实了这点。攻击者部署了syskit后门，并利用它进行侦察。部署在受害者机器上的其他工具被设计成使用rar收集文件并打包，从而收集更多的系统信息。攻击者还部署了tightvnc远程管理工具以获得对计算机的完全访问。赛门铁克提到一些受害者身上有OilRig工具的痕迹。

东南亚和朝鲜半岛

最近发现了新的android恶意软件伪装成移动信或与加密货币相关的应用程序。
这个新的恶意软件与konni存在联系，konni是一种windows恶意软件，过去曾被用来攻击人权组织和对朝鲜半岛事务感兴趣的个人和组织。Konni此前也瞄准了加密货币。受感染的应用程序不会从特定的交易应用程序或钱包地址中窃取加密货币。它实现了完整的间谍软件功能来控制受感染的Android设备，并窃取个人加密货币。
最近跟踪新的bluenoroff活动，发现缅甸的一家银行被攻击者破坏，研究人员迅速与它联系，并分享已经发现的IOC。这种协作使我们能够获得更有价值的信息，了解攻击者如何横向移动以访问高价值主机。
攻击者使用公共登录凭据转储程序和自制的powershell脚本进行横向移动。bluenoroff还使用了一种结构不寻常的新恶意软件。根据命令行参数的不同，此恶意软件可以作为被动后门、主动后门或隧道工具运行。此外，还发现了另一种用于攻击土耳其的powershell脚本，这个powershell脚本的功能与之前的类似，但是bluenoroff不断地更改它以逃避检测。
卡巴斯基观察到其最近的一次活动使用了被Fireeye称为Dadjoke的恶意软件。该恶意软件于2019年1月首次在野使用，此后不断发展。自1月份以来，该恶意软件仅在少量活动中被使用，目标都是东南亚地区的政府、军事和外交实体。最近一次活动是在8月29日进行的，只针对军事组织工作的少数人。
2017年，韩国金融安全研究所（FSI）初步描述了被视为Lazarus子集团Andariel APT组织。该组织专注于韩国的地缘政治和金融情报。我们已经发布了几份有关该组织的报告。最近观察到，攻击者为易受攻击的weblogic服务器构建新的c2基础设施，攻击者成功后会植入了由韩国安全软件供应商合法签名的恶意软件。由于韩国方面的快速反应，这个签名很快就被撤销了。恶意软件是一种全新的后门，名为阿波罗宙斯（Apollozeus），它是由一个具有复杂配置的shellcode启动的。这个后门使用了一个相对较大的shellcode，以使分析变得困难。此外，它还会谨慎地执行最终的有效负载。这个恶意软件的发现让我们找到了几个相关的样本，以及攻击者用来传播它的文档。我们认为这次攻击是下一步攻击活动的准备阶段。

其他方面

shadow brokers中有一个有趣的python脚本sigs.py，其中包含许多函数来检查系统是否已经被另一个攻击者破坏。每个检查都是利用在系统中查找唯一签名的函数实现的，sigs.py中列出了44个条目，其中许多与尚未公开描述的未知apt相关。
2018年将sigs.py文件的第27个函数的APT组织确定为darkuniverse。其主要组件是一个相当简单的dll，只有一个导出函数，实现了多种后门控制功能。在西亚和非洲东北部发现了大约20名受害者，包括医疗机构、原子能机构、军事组织和电信公司。
自2019年初以来发现了安卓新的rcs（远程控制系统）工具。rcs会对用户使用水印，这使得我们能够关联其在野活动，从而获得该恶意软件的全局图谱。在2月份检测到埃塞俄比亚使用了rcs，摩洛哥也检测到了其他具有相同水印的样本。rcs使用的部署方法取决于攻击者，但最常见的方法是使用即时通信服务（telegram和whatsapp）将带有rcs的合法后门直接发送到目标。

总结

为了逃避检测，攻击者正在更新他们的工具集。这一季度在Turla的发展变化，Tunnus后门和传播工具Topinambour可以看出这一点。
观察到新的攻击活动时，并不能立即澄清攻击所使用的工具是否由原攻击者修改而来，还是完全由APT组织开发全新工具。
以韩国为重点的apt活动继续主导东南亚的活动。
尽管iOS漏洞方面的收益低于Android，但移动漏洞仍然会保持很高的价格，移动平台现在已经成为apt攻击的一个常规方面。

*参考来源： securelist.
，由Kriston编译，转载请注明来自FreeBuf.COM