卡巴斯基：2021 Q1 IT 威胁演变报告

3840839

卡巴斯基：2021 Q1 IT 威胁演变报告
针对性攻击事件

SolarWinds 供应链攻击事件

2020 年 12 月，国际 IT 管理软件供应商 SolarWinds 被发现其 Orion 软件更新服务器上存在一个受感染的更新程序，此次事件导致世界各地超 18,000 名 SolarWinds 客户（包括许多大型公司和政府机构）受到感染，受害者机器上被部署了名为 Sunburst 的自定义后门。

此次攻击行动中较为与众不同的是对特定受害者的分析和验证方案。在受恶意软件影响的 18,000 个 Orion IT 客户中，攻击者似乎只对少数几个感兴趣。此外攻击者采用了多种方法来尽可能长时间地保持隐蔽性，例如在首次与其 C2 建立连接之前，Sunburst 恶意软件处于休眠状态长达两个星期，从而无法轻易在沙箱中检测到其行为。


对 Sunburst 后门的进一步调查揭示它与 Kazuar 后门有所关联，后者是 2017 年公布的 .NET 后门，目前归于 Turla APT 组织。Sunburst 和 Kazuar 之间的共通点包括：受害者 UID 生成算法、初始睡眠算法以及广泛使用 FNV1a 散列来混淆字符串比较。这背后有几种可能性，一是 Sunburst 可能与 Kazuar 由同一组人员开发，Sunburst 的开发人员采用了 Kazuar 的一些代码；二是 Kazuar 某些开发人员进了 Sunburst 团队；三是 Sunburst 的开发人员故意留下这些线索误导分析。
Lazarus 组织攻击国防工业

Lazarus 是当今最多产、活跃的威胁组织之一，参与了多起大规模的网络间谍、勒索软件、加密货币的攻击行动。

从 2020 年初开始，该威胁组织一直在使用一个被称为 ThreatNeedle 的定制后门程序对十几个国家的国防工业目标实施攻击。该后门会在受感染网络内横向移动，收集敏感信息。


初始感染一般通过鱼叉式钓鱼攻击进行，以新冠疫情或疫苗接种的名义诱使受害者点击，恶意文档后释放恶意软件，后者进入下一阶段的部署过程。安装后，ThreatNeedle 会获得受害者设备的完全控制权，这意味着攻击者可以做任何事情，从操纵文件到执行接收到的命令。

在获得初始的立足点后，攻击者收集凭证并横向移动，在受害者的环境中寻找关键资产。他们通过访问内部路由器并将其配置为代理服务器来克服网络分段，从而将被盗数据从受害者的内联网泄露到远程服务器。
下图展示了 Lazarus 使用的 ThreatNeedle 武器集与其他武器集的关联。


MS Exchange 0 day 漏洞被广泛利用
3 月 2 日，微软发布了针对 Exchange Server 中的四个 0day 漏洞 ( CVE-2021-26855、CVE-2021-26857、CVE-2021-26858 和 CVE-2021-27065 ) 的带外补丁。通过这些漏洞，攻击者无需身份验证或访问个人电子邮件帐户即可从 Exchange 服务器读取电子邮件。而通过后面的漏洞链接，攻击者则能够完全接管邮件服务器。

一旦攻击者接管了 Exchange 服务器，他们就可以将网络连接至互联网并开始远程访问。许多 Exchange 服务器都具有 internet exposer 功能（特别是 Outlook Web Access 功能 ) ，并集成到更广泛的网络中，这对数百万组织构成了严重的安全风险。

这些漏洞似乎至少从今年 1 月初开始就被利用。全球各地的公司都成为利用这些漏洞的攻击的目标，其中最集中在欧洲和美国。


微软将这些攻击归咎于一个名为 Hafnium 的威胁行为者，并称该组织历来以美国机构为目标，包括传染病研究人员、律师事务所、高等教育机构、国防承包商、政策智库和非政府组织等。
Ecipekac：在 A41APT 活动中发现的复杂多层加载程序

A41APT 是一项长期运行的活动，从 2019 年 3 月到 2020 年 12 月底检测到过。该活动源于初始感染中使用的攻击者系统的主机名 " DESKTOP-A41UVJV"。攻击者利用 Pulse Connect Secure 中的漏洞，或利用先前操作中被盗的系统凭据来劫持 VPN 会话。

此活动中的一种特定恶意软件称为 Ecipekac（又名 DESLoader、SigLoader 和 HEAVYHAND），它是一个非常复杂的多层加载程序模块，用于交付有效负载，如 SodaMaster（又名 DelfsCake，dfls 和 DARKTOWN），P8RAT（又名 GreetCake 和 HEAVYPOT）和 FYAnti（又名 DILLJUICE stage2），进而加载 QuasarRAT。


该活动的操作和植入都非常隐蔽，威胁行为者实施了多项措施来隐藏自己并使其更难以分析，因此很难跟踪威胁行为者的活动。活动中使用的大多数恶意软件系列都是无文件恶意软件，以前从未见过。
我们认为 Ecipekac 恶意软件最重要的方面是将加密的 shellcode 插入到数字签名的 DLL 中而不会影响数字签名的有效性。使用此技术时，某些安全解决方案无法检测到这些植入程序。从 P8RAT 和 SodaMaster 后门的主要特征来看，这些模块是负责下载更多恶意软件的下载器，但这些恶意软件我们迄今为止无法获得。


其他恶意行动
伪装成广告拦截器的矿机

前段时间，我们发现了一些伪造的应用程序被用来向目标计算机提供加密货币矿机。伪造程序是通过恶意网站分发的，这些网站可能会列在受害者的搜索结果中，比如有点恶意软件伪装成 Malwarebytes 防病毒安装程序。在最新的观察中，又有恶意软件冒充了多个应用程序：广告拦截器 AdShield 和 Netshield，以及 OpenDNS 服务等。

受害者启动程序后，恶意软件会更改设备上的 DNS 设置，以便通过攻击者的服务器解析所有域，进而阻止受害者访问某些防病毒站点。然后恶意软件会自我更新，下载并运行经过修改的传输 Torrent 客户端，该客户端会将目标计算机的 ID 以及安装详细信息发送到 C2 服务器，接着下载并安装矿机。

卡巴斯基数据显示，从 2021 年 2 月至今，超过 7,000 名用户的设备有安装虚假应用程序的动作。在当前活动的高峰期，每天有超过 2,500 人受到攻击，大多数受害者位于俄罗斯和独联体国家。


加密虚拟硬盘的勒索软件
勒索软件团伙正在利用 VMware ESXi 中的漏洞攻击虚拟硬盘并加密存储在其中的数据。ESXi 管理程序允许多个虚拟机使用 SLP（服务层协议）在单个服务器上存储信息。

第一个漏洞（CVE-2019-5544）可用于进行堆溢出攻击，第二个 ( CVE-2020-3992 ) 是一个 Use-After-Free ( UAF 漏洞，与程序运行期间不正确使用动态内存有关。一旦攻击者能够在目标网络中获得初步立足点，他们就可以利用这些漏洞生成恶意 SLP 请求并破坏数据存储。

RansomExx 勒索软件背后的团伙正在利用这些漏洞，Darkside 组织也在使用相同的方法，而 BabuLocker 木马背后的攻击者也暗示他们能够加密 ESXi。

针对 macOS 的恶意软件

去年年底，苹果推出了由自己的 M1 芯片搭载的设备，旨在取代其计算机中的英特尔处理器。在第一台 Apple M1 计算机发布仅仅几个月后，黑客就已经重新编译了代码以使其适应新的架构。

这其中包括 XCSSET 的开发人员。XCSSET 是去年首次发现的恶意软件，它将恶意负载注入 Mac 上的 Xcode IDE 项目，此有效负载随后在 Xcode 中构建项目文件期间执行。XCSSET 模块能够读取和转储 Safari cookie，将恶意 JavaScript 代码注入各种网站，从 Notes、微信、Skype、Telegram 等应用程序中窃取文件和信息，并对文件进行加密。我们观察到的样本中就包括一些专门为 Apple Silicon 芯片编译的样本。

Silver Sparrow 是另一款针对 M1 芯片的恶意软件。这类恶意软件引入了一种滥用默认封装功能的新方法：不将恶意负载放置在预安装或安装后脚本中，而是将其隐藏在分发 XML 文件中。此有效负载使用 JavaScript API 运行 bash 命令以下载 JSON 配置文件，从 "downloadURL" 字段中提取 URL 以供下次下载。还为恶意样本的持续执行创建了适当的启动代理。无论芯片架构如何，JavaScript 负载都可以执行，对包文件的分析表明它同时支持 Intel 和 M1 芯片。

在 macOS 平台检测到的大多数恶意对象都是广告软件。这些程序的开发人员也在更新代码以支持 M1 芯片，比如 Pirrit 和 Bnodlero 家族。

网络犯罪分子不只是增加对新平台的拓展，有时他们会使用新的编程语言来开发 " 产品 "。最近，macOS 广告软件开发人员越来越关注新语言的运用，前段时间有不少用 Go 编写的样本，而最近网络犯罪分子又将注意力转向了 Rust，比如 Convuster 广告软件程序。

跟踪软件

跟踪软件是一种商用软件，指在他人不知情或未经他人同意的情况下通过他们的设备监视他人。欧洲性别平等研究所在 2017 年的一份报告中表示，每 10 名受在线跟踪影响的女性中，就有 7 人遭受过施暴者的身体暴力。反跟踪软件联盟将跟踪软件定义为 " 可能促进伴侣监视、骚扰、虐待、跟踪或暴力 " 的软件。

近年来，受跟踪软件影响的人数一直在增加，2020 年的人数受疫情影响有所下降，不过 53,870 是一个很大的数字，而且这格数字是卡巴斯基客户的数量，那么实际数字要高得多。


2020 年最常检测到的跟踪软件样本是 Monitor.AndroidOS.Nidb.a。此应用程序以其他名称的形式出售，如 iSpyoo、TheTruthSpy 和 Copy9，也有以防盗保护程序出售的 Cerberus，Cerberus 可以访问地理位置、拍照、截屏、录制声音，类似的还有 Track My Phone（检测为 Agent.af）、MobileTracker 和 Anlost。
全球检测到的跟踪软件样本前 10 名：


跟踪软件检测数量最多的是俄罗斯、巴西和美国。
全球受跟踪软件影响最严重的 10 个国家 / 地区：


2019 年，卡巴基和其他九名成员创建了反跟踪软件联盟，并于去年创建了 TinyCheck，这是一个免费工具，用于检测移动设备上的跟踪软件——专门为可能面临家庭暴力的人提供的。
对企业的人肉搜索

当提到人肉搜索时，人们往往认为它只适用于知名人士，但公司机密信息在泄露后同样容易导致其成为受害者，比如多个勒索软件团伙就以泄露被盗公司数据的名义索要大额赎金。

网络犯罪分子使用各种方法来收集机密的公司信息。

最简单的方法之一是使用开源情报 ( OSINT ) ——即从可公开访问的来源收集数据。互联网为潜在的攻击者提供了许多有用的信息，包括员工的姓名和职位，包括在公司担任关键职位的人。

从员工的在线个人资料中收集的信息可用于设置 BEC（商业电子邮件威胁）攻击，攻击者通过冒充不同的员工与合作伙伴公司通信，说服目标执行某些操作，例如发送机密数据或将资金转移到攻击者控制的帐户。BEC 攻击还可用于收集有关公司的更多信息或访问有价值数据或公司资源，例如基于云的系统的凭据。

网络犯罪分子还可以通过发送包含跟踪像素的电子邮件获取受害者的信息，诸如打开电子邮件的时间、收件人邮件客户端的版本和 IP 地址等数据。这些数据让攻击者可以冒充受害人用于随后的攻击。

网络钓鱼仍然是攻击者收集公司数据的有效方式。例如，攻击者可能会模仿 SharePoin 等业务平台向员工发送钓鱼链接，员工点击链接后被重定向到钓鱼网站，输入公司帐户凭据数据后被攻击者捕获。

除了邮件钓鱼，还有电话钓鱼的方式，要么直接致电员工并试图 " 钓鱼 " 公司信息，要么发送消息并要求他们拨打提供的号码——这种方法曾在 2020 年 7 月的 Twitter 黑客事件中使用过，甚至出现了网络犯罪分子获取某国际公司 CEO 的音视频内容，利用 deepfake 技术模仿 CEO 的声音，说服该公司某分公司的管理团队向骗子转账的案例。