一个简单粗暴，一个高深莫测，APT 双双藏身数年为何竟无人知

 聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士团队

卡巴斯基实验室的研究人员在新加坡举行的安全分析师峰会 (SAS) 上披露了一个新型的极为复杂的 APT 框架 TajMahal。数年来一直在攻击某中亚地区的外交实体。其样本使用了复杂的闻所未闻的代码库，使其极其难以被检测到。另外，研究人员还公布了简单有效的 SneakyPastes。

卡巴斯基实验室的研究人员在2018年年末发现了 TajMahal，它至少活跃于2014年8月。

TajMahal 的复杂性表现在两方面。犯罪分子创建了共包含80个恶意模块的两个数据包，一个是“Tokyo（中文意思：东京）”，一个是“Yokohama（中文意思：横滨）”。研究人员指出，这是他们迄今为止见过的包含最多数量插件的 APT 工具集。

这些工具集包括后门、加载程序、协调器、C2通信、音频记录器、键盘记录器、屏幕和摄像头抓取器、文档和加密密钥窃取器，甚至还包括用于整理目标机器数据的文件索引器。

TajMahal 的其中一个耐人寻味的功能是，它能够从可删除存储设备如 USB 设备中窃取文档。它首先识别存储在外部驱动上的文件，之后仅提取驱动上的目标文件。

卡巴斯基实验室并未透露遭攻击的这个中亚外交实体的具体名称，并表示可能存在尚未被发现的其它受害者。

卡巴斯基实验室首席恶意软件分析师 Alexey Shulmin表示，TajMahal 复杂的通信协议匹配其深不可测的插件弹药库。它具有紧急和常规两种类型的命令和控制服务器。紧急服务器用于通过更改紧急域名的 IP 地址，向 APT 传播紧急命令（自我卸载、自我恢复、使用常规的 C&C 或保留不活跃的模式）。

TajMahal 命名源自攻击者为渗透数据而给出的一个 XML 文件名称。它和在老旧 Turla 威胁组织样本中的操作“TadjMakhal”的引用类似。Shulmin 还指出，这个唯一被知晓的受害者似乎还遭到了和 APT 组织 Sofacy 相关的攻击，但未果。

TajMahal 的第二个复杂之处还表现在其隐秘性上。该框架的开发人员竭尽全力确保其不被检测到。其中一个主要的方法就是使用了一个全新的代码库。

Shulmin 指出，“一般而言，要创建一个 APT 需要耗费巨大资源，而这也是开发人员为何尝试在新项目中使用此前用过的代码的原因，目的是降低创建 APT 的成本。”然而，复用代码同时也让 APT 更容易地被检测到。在 TajMahal 案例中，它使用了全新的代码库，使其难以被检测到。

另外，该 APT 还使用了行为检测规避方法，包括在目标尝试删除感染时，将服务的名称随机化。删除感染时，它会在重启后变为新名称以及另外一种启动类型。

目前，研究人员尚不知晓 TajMahal 的全部信息，比如目标是如何遭感染的。不过有一点是清楚的：它被曝光后，攻击者将不得不从零开始。

卡巴斯基实验室还在大会上公布了一个攻击遍布于39个国家240个高级别受害者的网络间谍 APT组织 Gaza Cybergang（“加沙网络犯罪组织”）。这些受害者都是在去年遭受攻击，遍布政治、外交、媒体和活动家实体。这些受害者的共同之处是：他们都对中东政治感兴趣。

研究人员披露称，加沙网络犯罪组织讲阿拉伯语，是受政治利益驱动的犯罪组织，主要攻击中东和北非地区，尤其是巴勒斯坦地区。卡巴斯基实验室至少识别出该组织中的三个犯罪团伙。它们的动机和目标类似：实施和中东政治利益相关的网络间谍行动但使用完全不同的工具、技术和复杂性。它们之间存在共享和重叠之处。它们的复杂程度也各不相同：有较复杂的“Operation Parliament (议会行动)”组织和“Desert Falcons（猎鹰队沙漠）”组织，也有不太复杂的但始于2012年的 MoleRats 组织。

研究人员将该犯罪组织发动的攻击活动称为“SneakyPastes”，它始于去年春天，使用了一次性邮件地址通过政治主题的钓鱼信息传播感染。这些邮件含有恶意链接或附件。为了避免被检测到 C2 的位置，SneakyPastes 还使用了低成本但行之有效的方法：使用多个免费站点如 Pastebin 和 Github 来下载间谍软件，它通常通过这类“粘贴 (paste)”站点将恶意软件“偷偷 (sneak)”放到目标计算机中。它通过使用 PowerShell、VBS、JS和dotnet 来确保在受感染系统中的弹性和可持续性。入侵的最后一个阶段是远程访问木马，它和C2服务器通信之后收集、压缩、加密并上传一系列被盗文档。

SneakyPastes最活跃的时段集中在2018年4月至11月期间，多数受害者位于巴勒斯坦地区（211名受害者），其余位于约旦、以色列和黎巴嫩。受攻击的目标主要是政党组织、政客以及研究中心。分析指出，执法部门已经拿下该攻击基础设施的重大部分，但 SneakyPastes 带来的危险远未结束。后续这几个团伙或将攻击延伸至和巴勒斯坦问题相关联的其它区域。

原文链接

https://threatpost.com/meet-tajmahal/143644/

https://threatpost.com/sas-2019-gaza-cybergang-blends-sophistication-levels-in-highly-effective-spy-effort/143546/

本文由代码卫士编译，不代表其观点，转载请注明“转自代码卫士 www.codesafe.cn”。