日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

三年多來(lái)，卡巴斯基全球研究與分析團(tuán)隊(duì)(GReAT)一直在持續(xù)關(guān)注著APT攻擊活動(dòng)的變化，并且每個(gè)季度都發(fā)布相關(guān)的趨勢(shì)報(bào)告分析。本文所講的分析都是基于卡巴斯基的網(wǎng)絡(luò)攻擊情報(bào)研究。本文重點(diǎn)介紹了卡巴斯基在2020年第三季度觀(guān)察到的APT攻擊活動(dòng)。

成都創(chuàng)新互聯(lián)專(zhuān)業(yè)為企業(yè)提供保康網(wǎng)站建設(shè)、保康做網(wǎng)站、保康網(wǎng)站設(shè)計(jì)、保康網(wǎng)站制作等企業(yè)網(wǎng)站建設(shè)、網(wǎng)頁(yè)設(shè)計(jì)與制作、保康企業(yè)網(wǎng)站模板建站服務(wù)，10年保康做網(wǎng)站經(jīng)驗(yàn)，不只是建網(wǎng)站，更提供有價(jià)值的思路和整體網(wǎng)絡(luò)服務(wù)。

最顯著的發(fā)現(xiàn)

卡巴斯基最近發(fā)現(xiàn)了DeathStalker的活動(dòng)，DeathStalker是一個(gè)獨(dú)特的網(wǎng)絡(luò)攻擊組織，該組織的攻擊目標(biāo)似乎只是關(guān)注律師事務(wù)所和金融業(yè)公司。該組織對(duì)收集敏感業(yè)務(wù)信息的興趣使卡巴斯基相信，DeathStalker只是一群提供黑客服務(wù)的雇傭軍或在金融界充當(dāng)信息經(jīng)紀(jì)人。這個(gè)網(wǎng)絡(luò)攻擊者的活動(dòng)首先通過(guò)名為Powersing的基于PowerShell的植入程序引起了卡巴斯基的注意。

本季度，卡巴斯基對(duì)DeathStalker基于LNK的Powersing攻擊工作流程的線(xiàn)程進(jìn)行了分解。盡管整個(gè)工具集沒(méi)有開(kāi)創(chuàng)性的內(nèi)容，但卡巴斯基認(rèn)為，防御者可以通過(guò)理解成功的網(wǎng)絡(luò)攻擊者使用的現(xiàn)代(盡管技術(shù)含量低)感染鏈的基礎(chǔ)來(lái)獲得很多價(jià)值。 DeathStalker目前正在繼續(xù)開(kāi)發(fā)和使用這種攻擊技術(shù)，且采用了自2018年以來(lái)基本相同的策略，同時(shí)加大了逃避偵查的力度。 早在今年8月，卡巴斯基對(duì)DeathStalker活動(dòng)的公開(kāi)報(bào)告中就總結(jié)了該組織使用的三種基于腳本語(yǔ)言的工具鏈：Powersing，Janicab和Evilnum。

在首次公開(kāi)關(guān)于Evilnum的報(bào)告之后，卡巴斯基于2020年6月下旬檢測(cè)到一批新的植入程序，顯示出DeathStalker到目前為止的靜態(tài)攻擊方式發(fā)生了有趣的變化。例如，該惡意程序使用嵌入式IP地址或域名直接連接到C2服務(wù)器，而之前的變體使用了至少兩個(gè)死亡解析器(dead drop resolvers ，DDRs)或Web服務(wù)(例如論壇和代碼共享平臺(tái)) ，以獲取獲取真正的C2的IP地址或域名。

有趣的是，對(duì)于此活動(dòng)，攻擊者不僅將自己限制在發(fā)送魚(yú)叉式釣魚(yú)電子郵件，還通過(guò)多封電子郵件積極與受害者互動(dòng)，誘使他們打開(kāi)誘餌，以增加遭受網(wǎng)絡(luò)攻擊的機(jī)會(huì)。此外，除了在整個(gè)攻擊周期中使用基于python的植入程序之外，無(wú)論是在新版本還是舊版本中，這都是卡巴斯基第一次看到攻擊者將PE二進(jìn)制文件作為中間階段加載Evilnum，同時(shí)使用先進(jìn)的技術(shù)來(lái)規(guī)避和繞過(guò)安全產(chǎn)品。

此外卡巴斯基還發(fā)現(xiàn)了另一種復(fù)雜的但技術(shù)含量很低的植入程序，卡巴斯基將其歸因于DeathStalker，因?yàn)槠鋫鞑スぷ髁魇褂肕icrosoft Word文檔，并刪除以前未知的PowerShell植入程序，該植入程序依賴(lài)于HTTPS(DoH)上的DNS作為C2通道，卡巴斯基將這種植入程序稱(chēng)為PowerPepper。

在近期針對(duì)目標(biāo)活動(dòng)的調(diào)查中，卡巴斯基發(fā)現(xiàn)了一個(gè)UEFI固件映像，其中包含惡意組件，這些惡意組件會(huì)將以前未知的惡意程序丟棄到磁盤(pán)中。卡巴斯基的分析表明，被發(fā)現(xiàn)的固件模塊是基于名為Vector-EDK的已知引導(dǎo)程序，而被丟棄的惡意程序則是其他組件的下載器。通過(guò)研究惡意程序的獨(dú)特功能，卡巴斯基從研究中發(fā)現(xiàn)了一系列自2017年以來(lái)一直用于攻擊目標(biāo)的相似樣本，它們具有不同的感染媒介。

盡管大多數(shù)業(yè)務(wù)邏輯是相同的，但卡巴斯基可以看到其中一些具有附加功能或?qū)崿F(xiàn)方式不同。因此，卡巴斯基推斷出大部分樣本都來(lái)自卡巴斯基稱(chēng)為MosaicRegressor的更大框架。一些框架組件中的代碼和活動(dòng)中使用的C2基礎(chǔ)設(shè)施中的重疊表明，在這些攻擊背后有一個(gè)幕后主使者，可能與使用Winnti后門(mén)的組織有聯(lián)系。

歐洲地區(qū)的攻擊活動(dòng)

自發(fā)布有關(guān)WellMess的初步報(bào)告(請(qǐng)參閱2020年第二季度APT趨勢(shì)報(bào)告)以來(lái)，英國(guó)國(guó)家網(wǎng)絡(luò)安全中心(NCSC)已與加拿大和美國(guó)政府就涉及WellMess的最新活動(dòng)發(fā)布了聯(lián)合技術(shù)咨詢(xún)。具體來(lái)說(shuō)，三個(gè)政府都將針對(duì)新冠疫苗研究的惡意程序的使用歸因于Dukes家族(又名APT29和Cozy Bear)。該通報(bào)還詳細(xì)介紹了在此活動(dòng)中使用的另外兩個(gè)惡意程序，即SOREFANG和WellMail。

鑒于直接的歸因公開(kāi)聲明，咨詢(xún)中提供的新詳細(xì)信息以及自卡巴斯基進(jìn)行初步調(diào)查以來(lái)發(fā)現(xiàn)的新信息，新發(fā)布了的報(bào)告，以補(bǔ)充卡巴斯基先前對(duì)該網(wǎng)絡(luò)攻擊的報(bào)告。雖然NCSC的公告提高了公眾對(duì)最近這些攻擊中使用的惡意程序的意識(shí)，但這三個(gè)政府的歸因聲明并沒(méi)有提供明確的證據(jù)供其他研究人員深入研究。因此，卡巴斯基目前無(wú)法修改它們的原始聲明;并且卡巴斯基仍然堅(jiān)持認(rèn)為WellMess活動(dòng)是由先前未知的網(wǎng)絡(luò)攻擊者進(jìn)行的。如果發(fā)現(xiàn)新的證據(jù)，卡巴斯基將調(diào)整此聲明。

俄語(yǔ)地區(qū)的攻擊活動(dòng)

今年夏天，卡巴斯基發(fā)現(xiàn)了一個(gè)未知的多模塊C ++工具集，該工具集可追溯到2018年那次工業(yè)間諜活動(dòng)。到目前為止，卡巴斯基還沒(méi)有發(fā)現(xiàn)與已知的惡意活動(dòng)有關(guān)代碼、基礎(chǔ)架構(gòu)或TTP的相似之處。

到目前為止，卡巴斯基認(rèn)為此工具集及其背后的攻擊組織都是新出現(xiàn)的。其開(kāi)發(fā)者將工具集命名為MT3，基于此縮寫(xiě)，卡巴斯基將該工具集命名為MontysThree。該惡意程序被配置為搜索特定類(lèi)型的文檔，包括那些存儲(chǔ)在可移動(dòng)媒體上的文檔。它包含了正確的俄語(yǔ)的自然語(yǔ)言偽像和一個(gè)尋找只存在于Cyrilic版本的Windows目錄的配置，同時(shí)顯示了一些偽造的語(yǔ)言標(biāo)志，表明是說(shuō)漢語(yǔ)的人開(kāi)發(fā)的。該惡意程序使用合法的云服務(wù)(例如Google，Microsoft和Dropbox)進(jìn)行C2通信。

中文地區(qū)的攻擊活動(dòng)

今年早些時(shí)候，卡巴斯基在亞洲和非洲的區(qū)域政府間組織網(wǎng)絡(luò)中發(fā)現(xiàn)了一個(gè)活躍的，以前未知的隱形植入程序，稱(chēng)為Moriya。通過(guò)使用C2服務(wù)器建立隱蔽通道并將Shell命令及其輸出傳遞給C2，此工具用于控制那些組織中面向公眾的服務(wù)器。使用Windows內(nèi)核模式驅(qū)動(dòng)程序可以簡(jiǎn)化此功能，使用該工具是卡巴斯基正在進(jìn)行的名為T(mén)unnelSnake的活動(dòng)的一部分。

Rootkit于5月在目標(biāo)計(jì)算機(jī)上被檢測(cè)到，該攻擊活動(dòng)最早可追溯至2019年11月，并在最初感染后在網(wǎng)絡(luò)上持續(xù)了幾個(gè)月。卡巴斯基發(fā)現(xiàn)另一個(gè)工具顯示與這個(gè)rootkit有明顯的代碼重疊，這表明開(kāi)發(fā)人員至少?gòu)?018年就開(kāi)始活躍了。由于rootkit和其他橫向移動(dòng)工具都不依賴(lài)于硬編碼的C2服務(wù)器，因此卡巴斯基只能獲得對(duì)攻擊者基礎(chǔ)結(jié)構(gòu)的部分預(yù)測(cè)。也就是說(shuō)，除了Moriya以外，大多數(shù)檢測(cè)到的工具都包含專(zhuān)有和知名的惡意程序，這些惡意程序以前曾被說(shuō)成是使用中文的攻擊者使用的，這為攻擊者來(lái)源的分析提供了線(xiàn)索。

在東南亞和東亞，以及非洲，PlugX一直被有效地和大量地使用，在歐洲卻很少被使用。PlugX代碼庫(kù)已被包括HoneyMyte，Cycldek和LuckyMouse在內(nèi)的多個(gè)中文APT組使用。政府機(jī)構(gòu)、非政府組織和IT服務(wù)組織似乎都是這些攻擊的目標(biāo)，盡管新的USB傳播功能有機(jī)會(huì)將惡意程序推向整個(gè)網(wǎng)絡(luò)，但受到攻擊的MSSPs/IT服務(wù)組織似乎是一個(gè)定向傳播的潛在攻擊載體，CobaltStrike安裝程序包已推送到多個(gè)系統(tǒng)進(jìn)行初始PlugX安裝。根據(jù)卡巴斯基的觀(guān)察，上個(gè)季度的大部分活動(dòng)似乎都集中在蒙古、越南和緬甸。到2020年，這些國(guó)家使用PlugX的系統(tǒng)至少有幾千個(gè)。

卡巴斯基發(fā)現(xiàn)一個(gè)持續(xù)進(jìn)行的攻擊活動(dòng)，可以追溯到五月，利用一個(gè)新的版本的Okrum后門(mén)，Okrum是Ke3chang開(kāi)發(fā)的，Ke3chang組織也被稱(chēng)為APT15,該組織的攻擊行為于2012年第一次被曝光，該組織當(dāng)時(shí)利用遠(yuǎn)程后門(mén)攻擊全世界的高價(jià)值目標(biāo)。該組織活動(dòng)最早可以追溯到2010年，在火眼2013年報(bào)告中顯示該組織當(dāng)時(shí)針對(duì)的目標(biāo)為歐洲外交組織。這個(gè)更新版本的Okrum使用了一個(gè)authenticode簽名的Windows防御二進(jìn)制文件，使用了一種獨(dú)特的側(cè)加載技術(shù)。攻擊者使用隱寫(xiě)術(shù)來(lái)隱藏防御者可執(zhí)行文件中的主要有效載荷，同時(shí)保持其數(shù)字簽名的有效性，減少被發(fā)現(xiàn)的機(jī)會(huì)?？ò退够郧皬奈匆?jiàn)過(guò)這種方法在野外被用于惡意目的。目前卡巴斯基已經(jīng)觀(guān)察到一個(gè)受害者，該受害者是一家位于歐洲的電信公司。

9月16日，美國(guó)司法部(US Department of Justice)公布了三份與黑客有關(guān)的起訴書(shū)據(jù)稱(chēng)這些黑客與APT41和其他攻擊設(shè)備有關(guān)，這些設(shè)備包括Barium，Winnti，Wicked Panda和Wicked Spider。

此外，在美國(guó)司法部與馬來(lái)西亞政府(包括總檢察院)合作之后，兩名馬來(lái)西亞公民也于9月14日在馬來(lái)西亞的Sitiawan被捕，罪名是“密謀從針對(duì)視頻游戲行業(yè)的電腦攻擊中獲利”。第一份起訴書(shū)稱(chēng)，被告成立了一家名為“白帽子”的精英網(wǎng)絡(luò)安全公司，名為成都404網(wǎng)絡(luò)技術(shù)有限公司(又名成都思靈思網(wǎng)絡(luò)技術(shù)有限公司)，并以其名義從事針對(duì)全球數(shù)百家公司的電腦攻擊，他們使用專(zhuān)門(mén)的惡意程序進(jìn)行黑客攻擊，比如網(wǎng)絡(luò)安全專(zhuān)家所稱(chēng)的‘PlugX/Fast’、‘Winnti/Pasteboy’、‘Shadowpad’、‘Barlaiy/Poison Plug’和‘Crosswalk/ProxIP’。起訴書(shū)中包含了幾個(gè)間接的IoC，這使卡巴斯基能夠?qū)⑦@些攻擊與近年來(lái)發(fā)現(xiàn)和調(diào)查的兩起大規(guī)模供應(yīng)鏈攻擊行動(dòng)“ShadowPad”和“ShadowHammer”聯(lián)系起來(lái)。

2017年7月，卡巴斯基實(shí)驗(yàn)室研究人員發(fā)現(xiàn)了ShadowPad，一種隱藏在服務(wù)器管理程序中的后門(mén)程序，全球有數(shù)百家企業(yè)使用這些服務(wù)器管理程序。這種惡意代碼被植入到這些程序的更新中，而這些程序廣泛應(yīng)用于金融服務(wù)、教育、電信、制造業(yè)、能源和運(yùn)輸行業(yè)中。2019年卡巴斯基實(shí)驗(yàn)室發(fā)現(xiàn)了一種(APT)攻擊行動(dòng)，通過(guò)供應(yīng)鏈攻擊影響了大量用戶(hù)。研究發(fā)現(xiàn)，ShadowHammer行動(dòng)幕后的威脅攻擊者的攻擊目標(biāo)為華碩實(shí)時(shí)更新應(yīng)用程序的用戶(hù)，其至少在2018年6月至11月期間向用戶(hù)設(shè)備注入了后門(mén)程序，危及全球超過(guò)50萬(wàn)用戶(hù)的安全。

下一篇文章，我們將介紹APT組織本季度在中東地區(qū)的攻擊活動(dòng)概況。

 

當(dāng)前標(biāo)題：2020年第三季度APT攻擊趨勢(shì)分析（上）
網(wǎng)址分享：http://m.5511xx.com/article/dhipocg.html