卡巴斯基：2019 年 Q2 高级持续性威胁（APT）趋势报告

概述

 近两年来，卡巴斯基的全球研究与分析团队（GReAT）一直在发布关于高级持续性威胁（APT）活动的季度报告。该报告主要基于我们的威胁情报研究，提供了我们内部 APT 报告的代表性结论，并将我们认为大家应该关注的重大事件和发现公之于众。

这是我们最新的一期报告，重点介绍我们在 2019 年第二季度观察到的高级持续性威胁活动。

二、主要发现

4 月，我们发布了关于 TajMahal 的报告，这是一个此前从未见过的 APT 框架，在过去五年中一直活跃。

具体而言，TajMahal 是一个高度复杂的间谍软件框架，包括后门、加载工具、协调工具、C2 通信工具、音频录制工具、键盘记录工具、屏幕截取工具和网络摄像头录制工具。

我们发现，它加密的虚拟文件系统中存储了多达 80 个恶意模块，此前从未在 APT 工具集中见到过如此多的插件。该恶意软件具有自己的索引工具和紧急 C2，能在外部存储盘再次可用时窃取特定文件，此外还有一系列功能。在调查的计算机上，我们发现该框架使用了两个不同的包，分别称为“Tokyo”（东京）和“Yokohama”（横滨）。我们认为，攻击者使用 Tokyo 进行第一阶段感染，并在成功感染的受害者主机上部署功能齐全的 Yokohama 一系列恶意工具，同时将 Tokyo 作为一个备份。

截至目前，根据我们的远程监测，仅仅发现一个受害者——一个来自中亚某国家的外交机构。

这就引出一个问题，为什么如此复杂的攻击仅仅针对一个目标？我们认为，可能还有其他受害者尚未发现。有一个证据可以支撑这个说法，我们目前还暂时没有发现恶意软件是如何使用 VFS 中的一个文件，因此可能说明目前仍有尚未检测到的其他版本的恶意软件。

5 月 14 日，据英国《金融时报》报道，WhatsApp 出现 0-day 漏洞，允许攻击者对用户进行窃听、阅读用户的加密聊天内容、打开麦克风和摄像头以及安装间谍软件，甚至允许攻击者进一步对用户进行监控，例如浏览用户的照片和视频、访问用户的联系人列表等。

想利用此漏洞，攻击者只需通过 WhatsApp 呼叫受害者，有一个特定的调用可以在 WhatsApp 中触发缓冲区溢出，允许攻击者控制应用程序，并在其中执行任意代码。

显然，攻击者使用这种方式不仅能监控人们的聊天和呼叫，还能利用操作系统上从前未知的漏洞在设备上安装应用程序。该漏洞影响 WhatsApp for Android 2.19.134 及以前版本、WhatsApp for iOS 2.19.51 及以前版本、WhatsApp Business for iOS 2.19.51 及以前版本、WhatsApp for Windows Phone 2.18.348 及以前版本、WhatsApp for Tizen 2.18.15 及以前版本。

5 月 13 日，WhatsApp 发布了该漏洞的补丁。一些研究表明，利用该漏洞的间谍软件可能是由以色列 NSO 公司开发的 Pegasus。

1.使用俄语的恶意活动

我们持续跟踪了使用俄语的一些 APT 组织的恶意活动。通常来说，这些恶意组织会对政治活动特别感兴趣，但除了几个值得关注的之外，我们在上一季度没有发现任何具有显著特征的例子。

在分析过程中，我们发现了 Hades 与 RANA 研究所之间的潜在联系。Hades 可能与 Sofacy 威胁组织有关，最值得注意的是 Olympic Destroyer、ExPetr 和几个包含虚假信息的恶意活动，例如 Macron 漏洞。

今年早些时候，一个名为 Hidden Reality 的网站发表了一篇揭秘文章，表明该组织涉嫌与名为 RANA 研究所的伊朗实体相关。这是该网站在两个月内第三次披露与伊朗攻击者和恶意组织相关的细节。在对样本、基础设施和揭秘内容进行分析后，我们认为，揭秘的这部分内容可能与 Hades 有关。这可能是一场包含虚假信息的恶意活动的一部分，Hades 针对今年早些时间其他案件中泄露信息的质量提出了质疑。

Zebrocy 继续使用各种编程语言为其武器库添加新工具。我们发现，Zebrocy 在一个东南亚外交组织中，部署了一个编译过的 Python 脚本，我们称之为 PythocyDbg——该模块主要提供网络代理和通信调试功能。

在 2019 年初，Zebrocy 通过使用 Nimrod/Nim 改变了其开发模式，Nimrod/Nim 是一种编程语言，其语法类似于 Pascal 和 Python，可以编译为 JavaScript 或 C 语言的目标程序。该恶意组织主要将 Nim 下载工具用作钓鱼，此外也有一些其他 Nim 后门代码在与 Go 语言和 Delphi 语言编写而成的模块一起提供。这一系列新型 Nimcy 下载工具和后门主要针对外交官员、国防官员、外交部工作人员发动攻击，主要希望窃取他们的登录凭据、键盘输入、通信以及各类文件。与此同时，该恶意组织还始终保持着对中亚地区政府本地和远程网络的访问。

近期，我们还观察到了一些与 Turla 相关的新迹象，它们具有不同程度的置信度。

在 2019 年 4 月，我们观察到有攻击者使用新型恶意软件攻击与 COMpfun 恶意软件的目标相近的目标。Kaspersky Attribution Engine 发现新型恶意软件的代码与旧版本 COMpfun 之间具有较强的相似性。

除此之外，原始的 COMpfun 在其中一个传播机制中被用作下载工具。根据一些样本的.pdb 路径，我们将新识别的模块称为 Reductor。我们认为，新型恶意软件是由与 COMPfun 相同的作者开发的。根据受害者，我们认为该恶意软件暂时与 Turla APT 具有一定关联。除了典型的 RAT 功能（上传、下载、执行文件）之外，Reductor 作者还投入大量精力来操纵已安装的数字根证书，并使用独特的主机相关标识符来标记出站 TLS 流量。恶意软件将嵌入的根证书添加到目标主机中，并允许恶意运营者通过命名远程管道来添加其他证书。

Reductor 的开发人员使用了非常巧妙的方式标记 TLS 流量，他们完全没有去研究网络数据包，相反的是，他们对 Firefox 和 Chrome 的二进制代码进行分析，以修补进程内存中相应的系统伪随机数生成（PRNG）函数。浏览器使用 PRNG 函数，在 TLS 握手一开始时就生成“客户端随机”（Client Random）序列。Reductor 将受害者独有的标识符（基于当前使用的硬件和软件计算而成）添加到这个“客户端随机”的字段之中。

除此之外，我们发现了一个新的后门，我们确认该后门与 Turla 相关。该后门名为 Tunnus，是基于.NET 的恶意软件，能够在受感染的系统上运行命令或执行文件操作，并将结果发送到 C2。到目前为止，C2 基础架构是使用带有漏洞的 WordPress 构建的。根据我们的远程监测，Tunnus 的恶意活动从去年 3 月开始，在撰写本文时仍然活跃。

ESET 还公开了 Turla 使用 PowerShell 脚本来实现直接的内存加载和恶意软件执行。这并非是威胁攻击者第一次以这种方式使用 PowerShell，但该团队已经改进了这些脚本，现在正在使用它们从恶意组织的传统武器库中加载各种自定义的恶意软件。通过 PowerShell 脚本（RPC 后门和 PowerStallion）提供的 Payload 是经过高度定制化的。

在过去一年半中，Symantec一直在追踪针对全球各地政府和国际组织的一系列恶意活动。这些攻击的特点是攻击者使用了一个快速发展的工具集。分析人员发现，在其中一个值得关注的恶意活动中，攻击者成功劫持了属于 OilRig 的基础设施。进一步，分析人员发现了 Waterbug APT 组织（又称为 Turla、Snake、Uroburos、Venomous Bear 和 KRYPTON）对属于 OilRig（又称为 Crambus）的攻击平台进行恶意接管的证据。Symantec 的研究人员怀疑 Turla 使用被劫持的网络攻击中东政府，然而其目标此前已经被 OilRig 成功攻击过。我们此前曾经发现过这样的恶意活动。显然，这样的情况使得我们追溯攻击者身份的过程变得更加复杂。

使用中文的恶意活动

我们发现了一个使用中文的 APT 恶意组织的频繁活动，我们将其称之为 SixLittleMonkeys，它使用新版本的 Microcin 木马以及一个 RAT（在 HawkEye 的最后一个阶段中使用）。

该恶意活动主要针对中亚地区的政府机构。在建立持久性方面，恶意运营者根据搜索到的.DLL 文件的先后顺序逐一进行劫持。攻击者使用了自定义的解密工具，将其名称伪装成一个系统库（例如：version.dll 或 api-ms-win-core-fibers-l1-1-1.dll），并使用合法应用程序将这些库加载到内存中。在另外一部分合法的应用程序中，威胁行为者使用 Google 更新程序 GoogleCrashHandler.exe 进行.DLL 劫持。自定义的加密器能够保护下一阶段的恶意工具不会被检测或分析。

在此过程中，恶意软件使用加密的 TLS 通信方式与 C2 进行通信，使用了 Secure Channel（Schannel）Windows 安全包。

ESET发现，在 4 月，Plead 恶意软件背后的攻击者借助已经被攻陷的路由器，使用中间人攻击（MITM）的方式实现恶意软件的分发。研究人员已经在台湾发现了这种恶意活动，台湾地区是 Plead 最为活跃的地方之一。Trend Micro 此前曾经发表过关于这一恶意软件的分析，他们发现该恶意软件在 BlackTech 组织针对特定目标发动的攻击之中曾经使用过，他们主要针对亚洲地区开展网络间谍活动。

根据 ESET 的远程监控，发现了多次部署该恶意软件的尝试。 Palo Alto检测到的 LuckyMouse 恶意活动以中东地区的政府组织为目标，攻击者主要在 SharePoint 服务器上安装 WebShell，可能还利用了 CVE-2019-0604，这是一个用于攻击服务器并最终安装 WebShell 的远程代码执行漏洞。攻击者们上传了他们用于在受感染网络上执行其他恶意活动的工具，这些恶意活动例如转储凭据、定位并横向移动到网络上的其他主机。特别值得注意的是，该恶意组织使用工具来识别存在 CVE-2017-0144 漏洞的系统，这个漏洞由 EternalBlue 利用，并被广泛用于 2017 年的 WannaCry 攻击之中。

该活动似乎与沙特阿拉伯网络安全中心和加拿大网络安全中心近期提到的与 CVE-2019-0604 漏洞利用相关的恶意活动有关。 去年，据称与某亚洲国家政府有关联的几名黑客在美国被起诉。今年五月，美国司法部起诉一名亚洲公民，称其进行了一系列计算机入侵，包括在 2015 年泄露健康保险公司 Anthem 的数据，该数据影响到超过 7800 万人的个人隐私。

与中东地区相关的恶意活动

在过去三个月之中，该地区的恶意活动非常值得关注，特别是与伊朗相关的活动在短短几周内被接连揭秘。更值得关注的是，其中一个漏洞可能是在 Sofacy / Hades 的帮助下进行的虚假宣传活动的一部分。

今年 3 月，有攻击者通过帐号 Dookhtegan 和 Lab_dookhtegan，使用标签 #apt34 在 Twitter 上发布消息。攻击者通过 Telegram 分享了几个文件，据称这些文件属于 OilRig 威胁组织。其中包含一系列与受害者相关的登录帐号、密码、工具、与不同入侵活动相关的基础设施细节、被指与攻击相关联的攻击者资料、WebShell 清单，而上述信息都是与 2014 至 2018 年期间的恶意活动相关的。

4 月 22 日，Bl4ck_B0X 创建了一个名为 GreenLeakers 的 Telegram 频道。正如创建者描述的那样，该频道用于免费发布与 MuddyWater APT 组织相关的信息。除此之外，Bl4ck_B0X 还暗示一些与 MuddyWater 相关的“高度机密”信息将会被出售。

4 月 27 日，在 GreenLeakers Telegram 频道中发布了三张截图，其中包含来自 MuddyWater C2 服务器的屏幕截图。5 月 1 日，该频道不再对公众开放，其状态变为私人。这一调整发生在 Bl4ck_B0X 有机会发布与 MuddyWater 相关的承诺信息之前，其关闭的原因尚不清楚。 最后，一个名为 Hidden Reality 的网站发布了疑似与伊朗 RANA 研究所这一实体相关的揭秘，这是两个月内发生的第三起泄密事件，披露了伊朗攻击者和恶意组织的细节。

值得关注的是，这一次揭秘使用了允许任何人浏览的网站，与此前发生的揭秘事件不同。幕后主使还依赖于 Telegram 和 Twitter 个人资料，发布与伊朗 CNO 能力相关的消息。Hidden Reality 网站披露了 RANA 机构计算机网络运营相关的内部文档、聊天记录和其他数据，以及有关受害者的信息。

此前，揭秘的信息更多会集中在工具、源代码和配置文件上。 我们对泄密者使用的样本、基础设施和专用网站进行仔细分析，找到了一些线索，我们相信 Sofacy/Hades 可能与这些泄露事件有关。 此外，还有其他一些与泄露不相关的 MuddyWater 活动，并且发现了该组织之前的一些活动。例如，ClearSky 发现了两个被 MuddyWater 在 2018 年底攻击的域名，用于托管其 POWERSTATS 恶意软件的代码。

4 月，Cisco Talos 发布了与 MuddyWater 恶意活动相关的 BlackWater 恶意活动分析。该活动展示了攻击者如何采取三个不同的步骤来进行恶意运营操作，从而允许他们绕过某些安全控制来逃避检测，这三个步骤分别是：用于在注册表中创建持久性的混淆后 VBA 脚本、PowerShell Stager 和 FruityC2 代理脚本、用于进一步枚举主机的 GitHub 开源框架。这可能允许攻击者监视 Web 日志，并确定恶意活动之外的某个人是否已经向其服务器发出请求以尝试调查该任意活动。在枚举命令运行之后，代理会与不同的 C2 进行通信，并在 URL 字段中发回数据。

Trend Micro 还称，MuddyWater 使用了一个名为 POWERSTATS v3 的新型多阶段 PowerShell 后门。 我们发布了一份关于四个 Android 恶意软件系列及其使用的虚假标志技术的内部报告。在其中的一起恶意活动中，攻击者向约旦的一所大学和土耳其政府发送了鱼叉式网络钓鱼电子邮件，使用受感染的合法帐户诱骗受害者安装恶意软件。

关于其他恶意组织，我们发现了与 ZooPark 相关的新型活动，ZooPark 是一个网络间谍威胁组织，主要窃取 Android 设备的数据。我们的新发现包括自 2016 年以来部署的新恶意样本和其他基础架构。这也导致我们发现由同一威胁行为者部署的 Windows 恶意软件植入。我们发现的其他指标揭示了恶意活动的目标，其中包括伊朗库尔德人，主要针对持不同政见者和政治活动家。

Recorded Future 发布了针对 APT33（又称为 Elfin）创建的针对沙特组织基础设施的分析。继 3 月份 Symantec 发现大量基础设施和运营活动之后，Recorded Future 的研究人员发现，APT33（或与之紧密相关的恶意组织）的攻击者正在停用或重新分配部分域名，这一系列活动在报告公开的 1 天左右之后进行，这表明伊朗的威胁行为者敏锐地观察到媒体对其恶意活动的报道，并且能够迅速作出反应。

在此之后，攻击者持续使用大量的运营基础设施，其中包含超过 1200 个域名，许多研究团队观察到他们与 19 种不同的商业化 RAT 植入工具进行通信。值得关注的一点是，该恶意组织似乎对 njRAT 的偏好有所增加，超过一半的疑似 APT33 基础设施都部署了 njRAT。

从更具政治性的层面上来看，有一些新闻报道与伊朗的恶意活动相关。 与伊朗革命卫队有关联的一个恶意组织近期被指责对英国国家基础设施发动了一系列的网络攻击，包括邮局、地方政府网络、私人公司和银行。数千名员工的个人数据被盗。有证据表明，该组织还参与了 2017 年对英国议会网络的攻击。英国 NCSC（国家网络安全中心）正在向受影响的组织提供援助。

微软近期收到了美国法院的命令，要求接管伊朗黑客组织 APT35（又称为 Phosphorus and Charming Kitten）使用的 99 个网站。威胁组织使用与微软、雅虎高度相像的欺骗性网站，针对伊朗的企业、政府机构、记者和政治活动家进行网络攻击。随着这些恶意网站被接管，恶意组织将不得不继续重建其基础设施。 美国网络安全和基础设施安全局（CISA）报告称，伊朗攻击者发起的网络攻击事件有所增加，其目标是使用破坏性工具针对美国的工业和政府机构发起攻击。该声明由 CISA 的主任 Chris Krebs 在 Twitter 上发布。

与东南亚和朝鲜半岛相关的恶意活动

本季度，我们发现了很多与韩国相关的活动。然而，对于东南亚其他地区而言，本季度没有太多的恶意活动，特别是与此前相比较而言。

在第二季度初，我们发现了针对韩国移动游戏公司的一项 Lazarus 攻击，我们认为这一攻击的目的是窃取应用程序源代码。很明显，Lazarus 不断更新其工具，与此同时，通常以金融机构为目标的 Lazarus 子集团 BlueNoroff 针对中亚地区银行和中国的加密货币业务发动攻击。

在最近的一次恶意活动中，我们观察到 ScarCruft 使用多阶段的二进制文件来感染几个受害者，并且最终安装一个名为 ROKRAT 的最终阶段 Payload，这是一个基于云服务的后门。

ScarCruft 是以技术熟练的 APT 组织，此前针对朝鲜半岛发动攻击。我们发现，全球范围内的一些受害者是与朝鲜相关的公司和个人，以及一个外交机构。有趣的是，我们观察到 ScarCruft 持续在其工具中采用公开可用的漏洞利用代码。在俄罗斯，我们还发现一名受害者同时遭到了 ScarCruft 和 DarkHotel 的攻击，而这种情况并非第一次发生。 ESET 近期分析了一个来自 OceanLotus 恶意组织的新型 MacOS 样本，该样本已经上传至 VirusTotal 上。这个后门与此前的 MacOS 版本共享其功能，但二者的结构已经改变，现在对其进行检测将会更加困难。研究人员无法找到与此样本相关的 Dropper，因此他们无法识别最初的攻击维度。

美国国土安全部（DHS）报告称，朝鲜政府正在使用被称为 HOPLIGHT 的木马变种。该报告针对 9 个恶意可执行文件进行了分析，其中有 7 个属于代理应用程序，用于屏蔽恶意软件和远程运营者之间的流量。代理使用有效的 gonggongSSL 证书生成伪 TLS 握手会话，伪装与远程恶意行为者的网络连接。其中的一个文件包含公共 SSL 证书，文件的 Payload 似乎使用密码或密钥进行编码。其余文件不包含任何公共 SSL 证书，但会尝试出站连接并投放四个文件，其投放的文件主要包含 IP 地址和 SSL 证书。

6 月，我们发现了一组值得关注的样本，瞄准南亚和东南亚国家的外交、政府和军事组织。我们认为，这是 PLATINUM APT 组织背后的威胁行为者精心设计的，此前使用无法被发现的隐写技术来隐藏通信。

在几年前，我们曾预测过越来越多的 APT 和恶意软件开发者将会使用隐写术，这个恶意活动就是一个最好的例子——攻击者在这个 APT 中使用了两种不同的隐写技术。同样值得关注的是，攻击者决定将他们需要的实用程序作为一个庞大的集合来实现，基于框架的体系结构正在变得越来越流行。

三、其他值得关注的发现

5 月 14 日，Microsoft 针对远程桌面服务（以前称为终端服务）中的关键远程代码执行漏洞（CVE-2019-0708）发布了修复程序，该漏洞影响某些旧版本的 Windows 系统（包括 Windows 7、Windows Server 2008 R2、Windows Server 2008）和一些不受支持的 Windows 版本（包括 Windows 2003 和 Windows XP）。

有关如何缓解此漏洞的详细信息，可以参考我们的内部报告“CVE-2019-0708 的分析和检测指南”。

远程桌面协议（RDP）本身不容易受到攻击。该漏洞是预身份验证漏洞，无需用户交互。换句话说，利用此漏洞的任何恶意软件，都可能会以类似于 WannaCry 传播的方式，从一台存在此漏洞的计算机传播到另一台存在此漏洞的计算机上。Microsoft 没有观察到对此漏洞的利用，但认为恶意攻击者极有可能为其编写漏洞利用并用在实际攻击之中。

6 月初，Malwarebytes Labs 的研究人员在 Amazon CloudFront（内容交付网络 CDN）上观察到了许多实际攻击活动，其中托管的 JavaScript 库被篡改，并注入了网络分流器。尽管理论上，涉及 CDN 的攻击通常会通过其供应链立即影响大量网络资产，但事实中并非都是如此。

有些网站使用 Amazon 的云基础架构来托管自己的库，或者连接到专门为他们开发并托管在自定义 AWS S3 Bucket 上的代码。如果没有正确验证外部加载的内容，这些网站会向用户暴露各种威胁，包括一些窃取信用卡数据的威胁。在分析了这些漏洞之后，研究人员发现，它们是 Magecart 威胁行为者开展的一项恶意活动，主要攻击目标是 CDN。

如今，CDN 已经被广泛使用，主要因为它为网站所有者提供了巨大的好处，包括优化加载时间、减少成本、帮助进行各类数据分析等。这些被攻击的网站之间没有任何其他共同之处，唯一的共同点就是他们都是用自己的自定义 CDN 来加载各种库。实际上，CDN 存储库被攻击的受害者，也就是他们自己。

据 Dragos 报道称，2017 年 TRISIS（又称为 TRITON 和 HatMan）背后的 APT 组织 XENOTIME 已经将攻击目标扩展到石油和天然气行业之外。研究人员最近发现，该组织在美国和其他地方侦查电力公用事业组织相关的网络，可能会对造成物理损害或人身伤害的关键基础设施发动危险的攻击。Dragos 在 2018 年年底首先注意到该恶意组织攻击目标的改变，并且该攻击持续到 2019 年。

我们最近报道了 2018 年中开发的最新版本 FinSpy（包括 Android 和 iOS）。该监控软件被销售给世界各地的政府和执法机构，他们使用该软件来收集各种平台上的各类用户信息。维基解密首次发现了 2011 年台式机设备的植入程序，2012 年发现了移动设备的植入程序。

从那时开始，卡巴斯基团队开始不断监测这种恶意软件的发展趋势及野外新版本的出现。适用于 iOS 和 Android 的移动植入程序基本具有相同的功能，能够收集个人信息，包括联系人、短信息、电子邮件、日历、GPS 位置、照片、内存中的文件、电话录音和 Messengers 的数据。Android 植入程序包含通过滥用已知漏洞，在未 root 设备上获取 root 权限的功能。似乎 iOS 的版本不包含漏洞利用模块，该产品似乎经过精心调整，可以清除公开可用的越狱工具。这可能意味着，在设备尚未越狱的情况下，需要对受害者的设备进行物理访问。最新版本中包含我们以前没有观察到的多种功能。

在我们最近的研究中，我们在近 20 个国家检测到这些植入工具的最新版本，但根据我们客户群体的规模来判断，受害者的实际数量可能会更多。

四、总结

本季度中东地区的 APT 活动非常值得关注，特别是与伊朗相关的恶意活动。其中的一个攻击活动，可能是在 Sofacy/Hades 威胁组织帮助下开展的。

在此前，东南亚可能是 APT 最为活跃的地区，而本季度发现的恶意活动主要与韩国相关。该区域内的其他地区，在本季度中较为平静。

针对所有地区，地缘政治仍然是 APT 活动的主要导火索。 根据我们对 FinSpy 的分析中可以清楚地看出，政府和执法机构对商业恶意软件的需求很高。

在本季度中，最引人关注的一个方面是我们发现了 TajMahal，这是一个以前从未见过且技术非常复杂的 APT 框架，至少已经开发了 5 年之久。这个成熟的间谍框架中包含多达 80 个存储在其加密虚拟文件系统中的恶意模块，这是我们见过的 APT 工具集中具有最多插件的一个。

与往常一样，我们的报告是针对所有已知威胁的描述。但需要明确的是，尽管我们努力在不断改进，但还是会存在一些未被监测到的其他复杂攻击活动。（本文转自嘶吼）

原文地址：

https://www.4hou.com/info/observation/19578.html

https://securelist.com/apt-trends-report-q2-2019/91897/