本文来自微信公众号“嘶吼专业版”,作者/胡金鱼。
六年来,卡巴斯基全球研究与分析团队GReAT一直在分享有关高级持续性威胁(APT)的季度更新。
这些摘要基于威胁情报研究,为我们在私人APT报告中发布和讨论更详细的内容提供了代表性概述。在最新一期中,将重点关注在2024年第二季度观察到的活动。
最新发现
3月,人们在XZ中发现了一个后门,XZ是一个集成在许多流行的Linux发行版中的压缩实用程序。OpenSSH服务器进程sshd使用后门库liblzma。OpenSSH已修补以使用许多基于systemd的发行版(包括Ubuntu、Debian和RedHat/Fedora Linux)上的systemd功能,因此依赖于此库(Arch Linux和Gentoo不受影响)。
该代码是在2024年2月和3月插入的,主要由Jia Cheong Tan(可能是虚构身份)插入。
攻击的可能目标是通过针对XZ构建过程将独占的远程代码执行功能引入sshd进程,然后将后门代码推送到主要的Linux发行版,作为大规模供应链攻击的一部分。攻击者使用社会工程学来获得对源代码/开发环境的长期访问权限,并通过伪造明显的人类交互来扩展该访问权限,以建立引入恶意代码的可信度。
liblzma库中的后门是在两个层面引入的。生成最终软件包的构建基础架构的源代码经过了轻微调整(通过添加一个额外的文件build-to-host.m4),以提取隐藏在测试用例文件(bad-3-corrupt_lzma2.xz)中的下一阶段脚本。
然后,该脚本从另一个测试用例文件(good-large_compressed.lzma)中提取了一个恶意二进制组件,该文件在编译过程中与合法库链接,并被发送到Linux存储库。
一些大型供应商最终在测试版和实验版中发布了恶意组件,却没有意识到这一点。XZ Utils的入侵被赋予了标识符CVE-2024-3094,最高严重性评分为10。
攻击者的最初目标是成功挂钩与RSA密钥操作相关的函数之一。在对挂钩过程的分析中,我们重点关注了后门在OpenSSH中的行为,特别是OpenSSH便携版本9.7p1(最新版本)。我们的分析揭示了有关后门功能的许多有趣细节。
·攻击者设置了防重放功能,以确保后门通信不会被捕获或劫持。
·作者使用自定义隐写技术将后门解密的公钥隐藏在x86代码中。
·后门挂钩日志记录功能,以隐藏其对SSH服务器的未经授权连接的日志。
·该后门钩住了密码认证功能,使得攻击者可以使用任意用户名/密码登录受感染的服务器,而无需进行任何进一步的检查。对于公钥认证,它也做同样的事情。
·该后门具有远程代码执行功能,这意味着攻击者可以在受感染的服务器上运行任何系统命令。
PcExter
在之前关于ToddyCat的报告中,我们描述了用于收集和泄露此APT威胁者感兴趣的文件的各种工具。其中一种工具是PcExter,它最初仅用于泄露以前借助其他工具(例如FileScan)收集的数据。然而,我们最近发现了一个新版本PcExter 2.0,它已完全重新设计并用.NET重写,能够收集数据本身,并使用改进的文件搜索机制。我们发现了此工具的几个版本以及一组特殊的加载器。
2021年,我们发布了一份私人报告,描述了QSC的技术细节,QSC是一个在调查针对南亚电信行业的攻击时发现的框架。
虽然我们的研究没有揭示该框架是如何部署的,也没有揭示其背后的威胁组织,但我们继续监控我们的遥测数据,以进一步检测QSC框架。2023年10月,我们在西亚地区多次检测到针对ISP的QSC框架文件。调查显示,目标机器自2022年以来就已感染了Quarian后门版本3(又名Turian),并且相同的攻击者从2025-08-06开始使用此访问权限部署QSC框架。除了QSC框架之外,攻击者还部署了一个用Golang编写的新后门,我们将其命名为“GoClient”,且在2025-08-06首次看到了此GoClient后门的部署。在分析了此活动中的所有工件后,我们中等程度地评估CloudComputating威胁分子是QSC框架和GoClient后门部署的幕后黑手。
2023年初,当该威胁者使用受监控的恶意IIS模块Owowa的修改版本时,发现了GOFFEE的活动。从那时起,GOFFEE停止使用Owowa以及PowerShell RCE植入物VisualTaskel;然而,它继续利用威胁分子之前基于HTA的感染链PowerTaskel进行入侵,并在其武器库中添加了一个伪装成合法文档并通过电子邮件分发的新加载程序。
我们最近发现了一种新的远程访问工具(RAT),检测率较低,名为SalmonQT。引起我们注意的是,该样本使用GitHub的REST API接受指令和上传数据,从而充当C2(命令和控制)服务器。
乍一看,GitHub存储库的路径似乎已被删除,但仔细检查后发现,存储库已设置为私有,并且只有使用正确的令牌才能访问REST API。
中东
Gaza Cybergang至少从2012年开始活跃,主要针对中东和北非。
当我们首次开始跟踪该组织时,其攻击性质相对简单,通常依赖于公开可用的恶意软件家族,例如QuasarRAT。尽管如此,该组织仍展示了我们至今仍能看到的特定TTP–每次活动仅针对少数目标。
今年年初,我们发现了几起涉及Gaza Cybergang的案例,威胁者对其TTP进行了轻微调整。该组织不再使用tabcal.exe作为侧载其初始访问下载程序IronWind的工具,而是改用另一个合法的Windows Media Utility文件setup_wm.exe。诱饵也更改为更通用的主题,而不是专注于特定的地缘政治局势。
东南亚及朝鲜半岛
2023年,我们在调查使用一组恶意软件家族的攻击时发现了神秘大象,这些恶意软件家族之前与其他已知威胁者(如SideWinder和Confucius)有关。
在分析基础设施时,我们意识到这些攻击实际上不是由任何先前已知的威胁者发起的,而是由我们称为神秘大象的新威胁者发起的。自那时以来,该威胁者一直很活跃,自我们首次报告以来已发动了多次攻击。
我们发现了神秘大象在最近的攻击中开发和使用的大量新恶意软件家族,以及最近创建的基础设施和更新的工具——主要是后门和加载程序,以最大限度地减少攻击早期阶段的检测。在我们的报告中,我们描述了该威胁者发起的最新攻击,并分析了新发现的恶意软件样本和相关基础设施。
黑客行动主义
随着2022年2月俄乌冲突的爆发,双方出现了数百个不同的黑客组织。其中一个组织是-=Twelve=-。该组织在信息领域宣称自己已经入侵了俄罗斯联邦的各个政府和工业企业。其中一些目标已在该组织自己平台上的官方频道上发布,而其他目标则仍处于暗中。
虽然互联网上有来自各种CTI(网络威胁情报)供应商的关于Twelve组织的多份报告,试图描述该组织的活动,但我们没有看到任何详细介绍攻击中使用的工具和技术的报告。我们关于Twelve的报告详细概述了该组织使用的TTP以及与其基础设施的连接。
今年2月,阿尔巴尼亚地理统计研究所(INSTAT)遭到攻击。这次攻击是国土正义组织所为,该组织自称是一个黑客行动主义组织,但被怀疑是受政府支持的组织。三年多来,该组织一直在无情地攻击阿尔巴尼亚目标,尤其是政府部门。攻击者能够获取超过100TB的数据,并破坏组织的官方网站和电子邮件服务,并清除数据库服务器和备份。
袭击的主要原因之一是阿尔巴尼亚境内有圣战者组织(MEK)难民营:国土正义组织认为该组织是恐怖组织,并认为阿尔巴尼亚政府的特定部门和某些公司为他们提供支持和资金。
威胁者持续进行网络行动,旨在传达其反MEK的政治信息。他们试图在阿尔巴尼亚人民中获得支持,让政府放弃MEK——他们的行动属于所谓的心理战(PsyOps)活动。
我们分析了该组织的活动历史,该组织近三年来一直在进行网络攻击,旨在对阿尔巴尼亚政府和民众施加长期压力。在报告中,我们介绍了该组织的主要活动,包括与具有相同目标的盟友组织合作的复杂行动,以及机会性攻击。
还描述了该组织使用的主要技术,包括利用面向互联网的服务器进行初始访问、横向移动活动、扩大攻击面,以及在网络行动的最后破坏阶段使用自定义擦除恶意软件和勒索软件。此外,我们还研究了该组织的说服机制,例如通过社交网络和新闻媒体扩大消息范围、分享被盗数据以获得恶名并倡导变革,以及不断威胁未来发动攻击以使其目标保持永久警惕状态。
其他发现
安全研究人员在东非的一个系统上发现了一个新的模块化恶意软件框架,我们将其命名为“Aniseed Vodka”:该系统于2018年被感染。该框架由一个主模块、一个JSON格式的配置文件和一组插件组成。
该框架具有高度可配置性,允许其操作员指定插件的操作参数,并按特定间隔安排插件任务(例如屏幕捕获、网络摄像头捕获和数据泄露)。该框架采用反检测和反取证技术,使其能够隐蔽地运行。它使用非传统通信渠道来逃避网络检测,使用Google Chat作为C2渠道,使用Gmail发送警报,使用Google Drive作为泄露渠道。据我们所知,我们在报告中介绍的框架并不为公众所知。我们无法将此框架与现有的威胁者联系起来。
我们之前关于DinodasRAT的报告显示,Linux后门版本与Windows版本在功能上存在大量重叠,并且还具有其他特定于Linux的功能,例如通过systemd或SystemV实现持久性。
近几个月来,我们收集了更多相关样本,从而对Linux变体有了更深入的了解。有迹象表明,早在2021年,它就已在攻击活动中使用。
此前,ESET披露了一项正在进行的APT活动,该活动使用了该威胁的Windows版本,该活动名为“Operation Jacana”,该活动之前被识别为XDealer。据Trend Micro描述,DinodasRAT也被用于最近的APT活动,该活动包括Windows和Linux版本。在我们关于DinodasRAT Linux变体的最新报告中,重点关注了与C2的网络通信以及恶意软件在受感染机器上执行的操作,而不仅仅是建立持久性和等待C2命令。
2024年5月,我们发现了一个针对俄罗斯政府实体的新APT。CloudSorcerer恶意软件是一种复杂的网络间谍工具,用于通过Microsoft、Yandex和Dropbox云基础设施进行隐身监控、数据收集和泄露。该恶意软件使用云资源作为其C2服务器,通过使用身份验证令牌的API访问它们。
此外,CloudSorcerer使用GitHub作为其初始C2服务器。CloudSorcerer的作案手法让人想起了我们在2023年报道过的CloudWizard APT。然而,恶意软件代码完全不同。我们认为CloudSorcerer是一个新的威胁者,它采用了类似的方法与公共云服务进行交互。
4月,我们发现了一项此前未知的活动,该活动使用Telemos后门针对俄罗斯的组织(包括政府部门)。该恶意软件以ZIP文件的形式通过鱼叉式网络钓鱼电子邮件发送,其中包含两种类型的植入程序之一-带有.SCR扩展名的PE64可执行文件或带有.WSF扩展名的Windows脚本文件。它们会植入并执行具有后门功能的基于PowerShell的脚本。我们发现了与这些攻击相关的几个恶意样本,并能够恢复原始源代码。
此威胁的主要目的是间谍活动——从浏览器中收集数据,例如登录凭据、cookie和浏览历史记录,以及从受影响系统上的可用驱动器收集感兴趣的文件。目前无法将该操作与已知的威胁者联系起来。
写在最后
虽然一些威胁者的TTP保持不变,例如严重依赖社会工程学进入目标组织或入侵个人设备,但其他威胁者已更新其工具集并扩大其活动范围。我们定期的季度报告旨在重点介绍与APT团体相关的最重要发展。
以下是在2024年第二季度看到的主要趋势:
·本季度的重点亮点是集成到许多流行Linux发行版中的XZ压缩实用程序的后门-特别是使用社会工程学来获取对开发环境的持续访问权限。
·本季度,我们发现APT活动集中在欧洲、美洲、亚洲、中东和非洲,针对的是政府、军事、电信和司法系统等多个领域。
·大多数APT活动的目的是进行网络间谍活动,尽管有些活动是为了获取经济利益。
·黑客攻击也是本季度威胁形势的一个特点。并非所有这些攻击都集中在公开冲突地区,正如国土正义组织对阿尔巴尼亚实体的攻击所示。
需要强调的是,报告是我们对威胁形势的洞察的产物。然而,重要的是要记住,虽然我们在不断改进,但总有可能存在其他可能被忽视的复杂攻击。
值得一提的是,当提到APT组织使用俄语、或其他语言时,我们指的是这些组织使用的各种工具(例如恶意软件调试字符串、脚本中的注释等)中包含这些语言的单词,这些工具是基于我们直接获得的信息或以其他方式公开和广泛报道的信息。使用某些语言并不一定表示特定的地理关系,而是指向这些APT工具背后的开发人员使用的语言。
