首页 科技正文

filecoin行情(www.ipfs8.vip):2021第一季度APT攻击趋势剖析(下)

约稿员 科技 2021-05-12 34 0

(接上文)

东南亚和朝鲜半岛区域的APT攻击趋势剖析

研究职员发现,Kimsuky组织在其最新的针对韩国股票生意应用程序的流动中接纳了一种新方式来流传其恶意程序。研究职员发现在此流动中,从2020年12月最先,该组织攻击了一个属于股票生意程序供应商的网站,攻击者用一个恶意程序替换了托管安装包。 Kimsuky还行使包罗与COVID-19相关的诱饵恶意韩文(HWP)文档讨论了 *** 拯救基金,从而流传了其恶意程序。这两种熏染载体最终都市释放Quasar RAT,Quasar是一种公然可用的开源远程接见木马,主要针对Windows操作系统,Quasar通过恶意附件在网络钓鱼电子邮件中流传。与Kimsuky上次讲述的由种种剧本组成的熏染链相比,该新方案增添了庞大性,并引入了异常不受迎接的文件类型,涉及带有嵌入式C#代码的VBS剧本,XML和可扩展样式表语言(XSL)文件,以获取并执行暂存器和有用载荷。凭证诱饵文件和受攻击安装程序包的功效,研究职员得出结论,此攻击是出于经济念头,正如研究职员先前所报道的那样,这是Kimsuky的攻击者主要关注的领域。

1月25日,Google攻击剖析组织(TAG)宣布,与朝鲜相关的攻击组织以平安研究职员为目的提议攻击。凭证Google TAG的博客,研究职员剖析该攻击组织使用了高度庞大的社交工程手段,通过社交媒体与平安研究职员联系,并提供了遭到攻击的Visual Studio项目文件,或将他们引诱到他们的博客中诱导受害目的安装Chrome破绽行使程序。 3月31日,Google TAG宣布了此流动的更新,攻击组织又更新了另一波虚伪的社交媒体资料,以及攻击组织在3月中旬确立的公司。研究职员可以确认博客上的几个基础架构与研究职员先前宣布的有关Lazarus组织的ThreatNeedle组织的讲述内容相重叠。此外,谷歌提到的恶意程序与ThreatNeedle(研究职员自2018年以来一直在跟踪的恶意程序)相匹配。在观察相关信息时,一位外部研究员也确认他也受到了这种攻击的影响,并共享信息供研究职员观察。从受熏染主机解密设置数据后,研究职员发现了其他C2服务器。在观察历程中,服务器仍在使用中,而且研究职员能够获取其他数据,剖析服务器上存在的日志和文件。研究职员发现,已宣布的基础结构不仅用于针对平安研究职员,而且还用于其他Lazarus攻击。在研究职员举行研究时,他们发现有大量的主机与C2通讯。你可以点击此处阅读研究职员的公然讲述。

在研究职员先前使用ThreatNeedle对Lazarus攻击国防工业的攻击举行观察之后,研究职员发现了另一个名为CookieTime的恶意程序组织,该组织在一个主要针对国防工业的流动中使用。研究职员检测到2020年9月和11月的流动,样本可追溯到2020年4月。与Lazarus组织的已知恶意程序组织相比,CookieTime显示出了差其余结构和功效。该恶意程序使用HTTP协议与C2服务器通讯。为了将请求类型流传到C2服务器,它使用编码的cookie值并从C2服务器获取下令文件。 C2通讯行使了隐写手艺,该手艺以受熏染的客户端与C2服务器之间交流的文件形式来提议攻击。伪装成GIF图像文件内容,但包罗来自C2服务器的加密下令和下令执行效果。通过与内陆CERT慎密互助,研究职员可以删除攻击时使用的基础架构,这样就有时机研究下令和控制剧本。恶意程序控制服务器以多阶段方式设置,而且仅将下令文件流传给有攻击目的的主机。

在观察越南 *** 认证局(VGCA)网站上的供应链攻击的工具时,研究职员发现第一个木马程序包可追溯到2020年6月,它是使用PhantomNet恶意程序部署的插件举行流传的。研究职员对这些插件的剖析解释,它与先前剖析的CoughingDown恶意程序相似。研究职员通过剖析攻击中使用的每个攻击工具以及该攻击组织库中的其他工具,已经明了了其攻击原理。最后,研究职员还凭证最新发现探索了CoughingDown发生的缘故原由。

2月10日,DBAPPSecurity宣布了他们去年12月发现的零日攻击的详细信息。除了破绽行使程序自己的攻击细节外,研究职员还提到BitterAPT在野外使用了该破绽行使程序。只管在初始讲述中没有提供任何相关后续信息来注释发生的缘故原由,但研究职员对此流动的观察证实,该破绽现实上仅由该攻击组织使用。研究职员为行使此破绽的流动以及其他针对巴基斯坦和中国 *** 和电信公司的工具起了一个名称——TurtlePower。研究职员还将此破绽的泛起与他们称为Moses的攻击联系了起来。已往两年中,Moses至少主导开发了五种修复程序。到现在为止,研究职员还能够将其中一些破绽行使与至少两个差其余攻击组织(BitterAPT和DarkHotel)联系起来。现在,尚不清晰这些攻击组织是若何通过直接购置或其他第三方提供商从Moses获取攻击的。在TurtlePower流动中,BitterAPT对受害目的使用了林林总总的工具,包罗一个名为ArtraDownloader的第一阶段有用载荷,一个名为Splinter的第二阶段有用载荷,一个名为SourLogger的键盘纪录程序,一个名为SourFilling的信息窃取程序以及Mimikatz的变体,这样做的目的就是网络特定的信息、文件并保持其接见权限。这项稀奇流动似乎也只针对巴基斯坦和中国境内的目的。研究职员可以使用他们自己的数据来验证针对巴基斯坦境内的特定攻击,CVE-2021-1732的使用在2020年6月至7月到达巅峰,但流动仍在举行中。

,

免费足球推荐

免费足球贴士网(www.zq68.vip)是国内最权威的足球赛事报道、预测平台。免费提供赛事直播,免费足球贴士,免费足球推介,免费专家贴士,免费足球推荐,最专业的足球心水网。

,

在2020年,研究职员考察到与“ Dropping Elephant”(又名Patchwork,Chinastrats)有关的新一波攻击,重点针对中国和巴基斯坦的目的。研究职员还注重到了该组织的传统营业局限以外的一些目的,即对中东以及对非洲大陆的兴趣日益增进。攻击发生在该组织完善的TTP之上,其中包罗使用旨在行使微软 Office中的远程执行代码破绽的恶意文档以及在后期熏染阶段署名的JakyllHyde(又名 BadNews)木马。 Dropping Elephant为JakyllHyde引入了一种新的加载程序,研究职员将其命名为Crypta。该恶意程序包罗阻碍检测的机制,而且似乎是该APT攻击组织最近的工具集的焦点组成部门。在加载大量后续有用载荷(例如Bozok RAT,Quasar RAT和LokiBot)的情形下,已考察到Crypta及其变体。研究职员研究时代发现的另一个木马是PubFantacy。据研究职员所知,对此工具的研究效果从未被公然过,而且至少从2018年最先就已被用于攻击Windows服务器。

研究职员最近发现了SideWinder攻击组织在2018-2019年使用的一个以前未知的Android植入程序,研究职员将其称为BroStealer。 BroStealer植入程序的主要目的是从受害者的装备中网络敏感信息,例如照片、SMS新闻、通话纪录和来自种种新闻流传应用程序的文件。只管SideWinder使用Windows平台开展了许多针对受害者的流动,但最近的讲述显示,该攻击组织也通过移动平台攻击了目的。

其他有趣的发现

在2019年2月,多家网络平安公司监测到了一系列恶意程序样本,其中大多数与种种已知的APT组织相关。其中一些样本无法与任何已知流动相关联。由于攻击手艺的先进性,其中一些还引起了研究职员的稀奇注重。只管研究职员还没有发现与任何其他已知恶意程序共享代码,但样本的编码模式、样式和手艺却泛起了相互重叠的征象,这在Lambert的各个家庭中都可以看到。因此,研究职员将此恶意程序命名为Purple Lambert。 Purple Lambert由几个模块组成,认真监控网络目的。它能够为攻击组织提供有关受熏染系统的基本信息,并执行吸收到的有用载荷。它的功效使研究职员想起了另一个Gray Lambert。事实证实,Gray Lambert在多次攻击中都替换了内核模式的White Lambert植入程序。此外,Purple Lambert显示出的功效类似于Grey Lambert和White Lambert,但本质上照样有所差异。

总结

只管某些攻击组织的TTP(战术、手艺和历程)随时间推移一直在演变,但其攻击的乐成性严重依赖于社会工程学,随着其他攻击组织迭代已有的工具集并扩大他们的攻击局限,响应的攻击趋势也发生了转变。以下是研究职员在2021年第一季度看到的主要趋势:

研究职员在本季度发现的最主要的攻击也许是SolarWinds攻击。 SolarWinds再次向人们展示了供应链攻击的庞大攻击水平,稀奇是这次攻击显示出了攻击组织正在支出更多起劲以举行更好的隐藏并保持持久性攻击。由于在SolarWinds产物中发现了异常多的零日破绽,因此研究职员仍在观察这种攻击的局限。

另一个要害的攻击趋势是多个攻击组织正行使微软 Exchange的零日破绽。最近,研究职员发现了另一个行使这些破绽的攻击。此外,Lazarus组织还行使了浏览器中的零日破绽来攻击其目的。

本文翻译自:https://securelist.com/apt-trends-report-q1-2021/101967/

Filecoin矿池

Filecoin矿池官网(www.ipfs8.vip)是FiLecoin致力服务于使用FiLecoin存储和检索数据的官方权威平台。IPFS官网实时更新FiLecoin(FIL)行情、当前FiLecoin(FIL)矿池、FiLecoin(FIL)收益数据、各类FiLecoin(FIL)矿机出售信息。并开放FiLecoin(FIL)交易所、IPFS云矿机、IPFS矿机出售、租用、招商等业务。

版权声明

本文仅代表作者观点,
不代表本站丰台生活网的立场。
本文系作者授权发表,未经许可,不得转载。

评论

好文推荐

站点信息

  • 文章总数:3318
  • 页面总数:0
  • 分类总数:16
  • 标签总数:718
  • 评论总数:1534
  • 浏览总数:724429