卡巴斯基发布2019第一季度 APT 趋势报告，有哪些看点？

 聚焦源代码安全，网罗国内外最新资讯！

编译：奇安信代码卫士团队

卡巴斯基发布2019年第一季度的 APT 组织活动的趋势报告，主要说明重大的 APT 活动以及研究发现。

实践证明，近年来攻击者在发动针对性供应链攻击方面非常成功，ShadowPad、CCleaner 和 ExPetr 即是绝佳例证。这和卡巴斯基此前发布的2019年威胁预测吻合。例如，攻击者利用华硕 Live Update Utility 发动复杂的供应链攻击，“ShadowHammer 行动”攻击者为该工具添加后门并通过官方信道传播给用户，通过网络适配器 MAC 地址精准针对未知用户池。攻击者在木马化样本中硬编码 MAC 地址列表，暴露了真实的攻击目标。

讲俄语的 APT 组织在第一季度并不算十分活跃，没有展现出令人注意的技术或运营变化。不过，他们在传播方面尤其在政治方面的活动仍在持续。

比如卡巴斯基发现了针对一家德国政治咨询组织机构的恶意 Word 文档，并由此发现了针对乌克兰大选的攻击活动。分析认为 Sofacy 或 Hades APT 组织有可能是幕后黑手。APT在政治方面采取的行动并不鲜见。最近，美国弗吉尼亚一家法庭请微软查看看似是华盛顿一家智库登录网站的一批站点，结果被指是某“疑似发动 DNC 攻击活动的俄罗斯组织”的基础设施。微软也将在五月底发布关于俄罗斯国家黑客攻击一家参与2019年欧洲议会选举活动的政治组织的情况。

从技术方面来讲，从1月中旬开始，卡巴斯基研究人员一直在追踪攻击土库曼斯坦和塔吉克斯坦政府组织的 APT 组织。最近，该 APT 组织使用新的 .NET 恶意软件传播已知的 KopiLuwak JavaScript “Topinambour（也被称为 Sunchoke）”。该释放器和合法的软件一起传播并由一个微小的 .NET shell 组成，等待运营人员发出的 Windows shell 命令。有意思的是，攻击者这次使用了不同的 JavaScript、.NET 和 PowerShell 部件，而且它们的功能类似。

另外，卡巴斯基实验室还首次发现有名的 APT 组织 Zebrocy使用编译的开源 Go 语言部署恶意软件。Zebrocy 组织继续攻击位于中亚地区的政府相关组织，以及一个新的中东外交目标。

另外，卡巴斯基研究人员还在2月份观测到，讲俄语的APT 组织使用之前已知的恶意软件攻击克里米亚地区。该间谍程序通过邮件传播，伪装成一家著名的提供网络保护解决方案的俄罗斯安全公司的 VPN 客户端。目前该 APT 组织的身份尚未确定。

该地区的 APT 组织活动在全球范围而言是最活跃的。

1月份，研究人员发现和巴基斯坦利益一致的 Transparent Tribe APT 组织（也被称为 PROJECTM 和 MYTHICLEOPARD）持续攻击印度军方目标。

2月份，研究人员在印度发现了针对军事组织的攻击活动。目前尚无法和任何已知的威胁者联系在一起。攻击者主要依靠水坑攻击和鱼叉式钓鱼攻击感染受害者。他们能够攻陷战争研究的网站，并通过该网站托管传播 Netwire RAT 变体的恶意文档。同时发现在同一时期，遭攻陷的军事人员战争俱乐部传播同样的恶意软件。

在此期间，“海莲花”APT 组织也很活跃，它使用了新的下载程序 KerrDown，被发现于今年年初。

2018年，研究人员发现Lazarus 组织新增了攻击 Mac OS 的能力。自此之后，Lazarus 已经扩大了其在 Mac OS 平台上的活动。进一步追踪发现该组织至少从2018年11月开始使用 PowerShell 控制 Windows 系统并使用 Mac OS 恶意软件攻击苹果消费者。Lazarus 组织并非唯一一个针对密币交易所的 APT 组织。Kimsuky 组织也触及密币交易所的公司和个人，这些目标主要位于韩国。

在此期间，南亚地区的 Bitter APT 组织使用了一个新兴的简易下载程序，向位于沙特阿拉伯和巴基斯坦的组织机构传播 BitterRat 木马。

令人惊讶的是，该地区的 APT 活动竟然没有之前那么密集。尽管如此，中东地区仍然是 Chafer 和 Bitter 等 APT 组织的目标。

研究人员还观测到 Gaza Team 和 MuddyWater 组织的活动，这可能是持续针对性攻击的一部分，在运营或技术改进方面并无看点。

2018年年末，研究人员在野发现 FinSpy iOS 植入的新版本。该版本是 Gamma Group 开发的 FinSpy Mobile 产品的一部分。iOS 版本的 FinSpy 实现了扩展性间谍软件功能，可允许人们追踪受感染设备上的一切内容，包括按键、信息和通话。不过当前版本的一个最大限制是只能安装在越狱设备上。研究人员认为 Gamma Group 并未向越狱受害者的手机提供利用工具，但它向客户提供了如何越狱的建议和支持。遥感数据显示，印度尼西亚和蒙古出现了该植入的痕迹。然而，由于 Gamma 客户的广泛性，这些受害者可能只是其中一部分。

之后，大概在2018年6月，研究人员发现了 FinSpy 的安卓版本，它和 iOS 版本功能类似，不过实现了专门针对安卓平台的能力如利用脏牛漏洞（CVE-2016-5195）获取根权限等。

2019年2月，卡巴斯基研究人员发现了第四个 Windows 0day 漏洞 CVE-2019-0797。研究人员认为多个 APT 组织正在使用该漏洞，包括但不仅限于 FruityArmor 和SandCat。而这两个APT 组织似乎是两条平行线并没有交汇之处，它们在同一时期使用了同样的利用，似乎是某第三方同时向这两个 APT 组织提供利用。

APT 组织似乎也在使用勒索软件，作为删除痕迹、实施网络绑架或强大的分散注意力的工具。卡巴斯基注意到了一些专门针对大型目标的勒索攻击。LockerGoga 最近攻陷了 Altran、Norsk Hydro 和其它大型公司。目前尚不知晓幕后黑手是谁、他们的动机是什么以及他们首次感染受害者的机制。目前也不清楚 LockerGoga 到底是勒索软件还是擦除器。它最开始的版本要求受害者付钱然后解密，但之后的版本通过更改受害者的密码并使其无法再次登录的方式来强制受害者登录。在这类案例中，受害者可能甚至没有机会查看勒索留言。

回顾2019年1月份的 APT 组织活动对于研究人员而言也是一次让人称奇的体验。即使认为“没有什么突破性”活动发生，但仍然让人觉得 APT 组织的活动充满各种故事。

作为结语，研究人员认为有以下几点值得注意的趋势：

• 地缘政治仍然是 APT 活动的主要助推力。

• 东南亚地区是全球 APT 活动最活跃的区域，但这也可能和一些经验不丰富的组织制造出的“噪音”有关。

• 近几年讲俄语的APT 组织似乎很低调，这可能和内部重构有关，不过这也只是一种猜测。

• 向政府组织和其它实体机构提供“商业化”恶意软件的提供商似乎做得很不错，客户越来越多。

如果只说明第一季度的最大趋势，那么卡巴斯基认为 ShadowHammer 行动结合了多个定义当前 APT 活动状态的因素。ShadowHammer 行动是高阶的针对性活动，它使用供应链进行传播，且传播范围非常广泛。它结合了多个步骤实施攻击活动，包括最开始收集目标的 MAC 地址。这似乎是一个新趋势，因为它还向其它受害者传播恶意软件，说明对抗供应链攻击是如何让人担忧以及困难程度有多高。

更多详情，可参见原文链接。

原文链接

https://securelist.com/apt-trends-report-q1-2019/90643/

题图：Pixabay License

本文由奇安信代码卫士编译，不代表奇安信观点，转载请注明“转自奇安信代码卫士 www.codesafe.cn”。