全年APT活动最有意义的发展是什么?我们可以从中学到什么?
对于这个问题,每个人都具有自己的理解,并且我们可能永远无法真正理解某些攻击的动机或其背后的支持力量。 尽管如此,事后分析看来,让我们试着从不同的角度来审视这些攻击组织,以便更好地理解所发生的事情。
1、活跃的攻击组织
有一些“传统”攻击者是安全社区非常活跃的,并且过去几年里每个人都在活跃。 2018年这些攻击者一如既往地不断出现在公众视野。
实际上,正是这些组织的操作手法决定了他们的行动轨迹。有些攻击者会简单地放弃他们的攻击工具,而有些攻击组织则会照常进行攻击。其中一些攻击者通常同时进行多个攻击活动。他们划分权限操作,如果它们的攻击被发现,他们只是改进它们的工具集以避免下次检测。
我们在传统攻击中发现了许多讲俄语的攻击者,我们想强调一下2018年Sofacy,Turla和CozyBear的活动。
Sofacy可能是三者中最活跃的。在整个一年中,我们在各种操作中检测到它,更新了他们的工具集。我们已经看到攻击者部署了Gamefish以及针对大使馆和欧盟机构的DealersChoice框架的更新版本。其中一个最引人注目的事件是该攻击者滥用Computrace LoJack,以便将其恶意软件部署在受害计算机上,这可以被视为UEFI类型的rootkit。
Zebrocy是该攻击者传统上使用的工具之一,但实际上,使用此工具的案例集合本身可视为攻击活动的一个小team。我们看到了Zebrocy组织的不同改进,包括一个新的自定义收集器/下载器,实现反沙箱技术的新VBA和新的.NET模块。
在这一年中,我们了解Sofacy似乎正在结构层面上发生变化,并且可能已经分裂成不同的子组织。通过OlympicDestroyer分析,我们了解到这种高度复杂的虚假旗帜操作在某种程度上与Sofacy有关。然而,我们后来观察到欧洲和乌克兰的OlympicDestroyer组织的更多活动,然后我们决定将其视为我们称之为Hades的实体。特别令人感兴趣的是,在GreyEnergy活动发布后,我们发现GreyEnergy和Zebrocy之间存在其他重叠,包括使用相同的基础设施和相同的0day ICS。所有这些似乎都将这个新的Hades工具组织与Zebrocy活动子组织联系在一起,传统上归功于Sofacy,以及BlackEnergy / GreyEnergy / Sandworm组织群的一部分。
关于Turla,我们没有发现像上面描述的任何重大结构变化,尽管我们确实看到这个攻击组织使用了一些有趣的恶意代码植入点,如LightNeuron(针对我们之前的第二季度APT摘要中描述的Exchange服务器),以及一个新的根据ESET,2017年感染德国联邦外交部以及欧盟其他实体的后门。
我们发现攻击组织在其全年针对大使馆和外交事务机构的传统活动中使用了其Carbon恶意软件的新变种。它也开始使用我们称之为Phoenix的新框架,以及(不出所料)转换为横向移动阶段的脚本和开源工具。
最后,2018年11月发现了一些潜在的CozyDuke活动,显然是针对欧洲的外交和政府实体。 TTP似乎并不是那些通常归因于这个攻击组织的标识,这打开了关于这个恶意软件被另一个团队使用的猜测的大门。 事实似乎仍然证实使用的恶意软件可归因于CozyDuke。 我们仍然在调查这个新的组织活动,这个组织近几个月来一直没有活动。
2018年的Lazarus和BlueNoroff活动。我们观察到该集团的不断针对不同地区的活动,包括土耳其,亚洲其他地区和拉丁美洲,以及为其提供经济利益的各种业务,如赌场, 金融机构和加密货币。 在最近的攻击组织中,它已开始使用名叫ThreatNeedle的新恶意软件。
2、虚假旗帜
虚假旗帜已经被越来越多的组织使用。今年我们见证了更多假旗行动的细节信息被发现。除了技术细节本身之外,还值得考虑的是攻击的真正目的,以及为什么在恶意软件中植入了这些复杂的虚假标志。第一个明显的结论是,攻击者现在非常清楚安全行业使用哪些技术来归因攻击,因此他们使用这些其他组织的技术特点来欺骗安全研究人员达到借刀杀人的作用。另一个考虑因素是攻击的主要目标不一定与窃取信息或破坏操作有关 - 模仿攻击者可能更重要。
这可能实际上是一些攻击者目前正在做的事情的一部分。有几个攻击组织在一段时间内显然处于非活动状态,但现在有不活跃。但是,他们正在使用其他组织的TTPs不一定能够真正隐藏自己。正如我们稍后将看到的,一些例子可能是CozyDuke和APT10。作为一种推测,可能是他们的传统工具集现在被不同的组织所使用,可能仍然与原始运营商有关。目的可能是将来组织归因更加困难,或者仅仅是为了分散他们真正的持续运营。整个OlympicDestroyer故事最终导致发现了一个与Sofacy和BlackEnergy相关的新活动子组织,我们称之为Hades。我们将看到这些更复杂的假旗行动在未来如何发展,以及它们如何用于追求不那么明确的目标。
在整个一年中,我们还看到了几个老APT组织如何通过新的活动重新出现。在这里,我们谈论的是几个APT组织,由于不明原因近来没有显示出太多的活动。然而,似乎他们又回来了。可能是防护体系还没有完全建立,我们看到一些该组织的人员的一些脆弱的操作手法;在其他情况下,他们恢复了他们通常的能力。
我们可以通过将其划分为一年中表现最活跃的地区继续总结。
第一名是东南亚,
其次是中东。
东南亚,
我们可以指出像Kimsuky这样的团体在年初开发了一个全新的工具集,或者活动属于难以归属的WinNTI“保护伞”。然而,最值得注意的是,我们更加关注DarkHotel,LuckyMouse甚至APT10等组织。
OceanSalt活动归功于APT10,但目前尚不清楚连接的强弱程度。在公开披露和这么多年没有已知活动之后,这位行动者似乎不太可能回归任何可能归于他们的事情。目前,这很难评估。
LuckyMouse是这份名单上的第二个中文组织,整年活动非常活跃。它攻击了国家数据中心,对中亚地区的知名受害者进行了水坑攻击,使用了一名中国安全相关软件开发商签署的驱动程序,甚至涉嫌在签署军方后立即攻击阿曼。与印度达成协议。Scarcruft使用了一个新的后门,我们称之为PoorWeb,在今年年初使用0day漏洞,并使用专为三星设备设计的Android恶意软件。
DarkHotel回归并实现0day漏洞进行新的活动,针对他们的传统受害者。我们能够在DarkHotel和其他供应商描述的Konni / Nokki活动之间建立中等水平的连接。APT10特别活跃于日本受害者,其恶意软件的新版本正如OceanLotus一样,它积极为南亚的知名受害者提供新的定制服务。在中东,我们观察到像波斯王子这样的团体与OilRig一起重新出现了一些活动。我们还发现了新的MuddyWaters活动,以及GazaTeam,DesertFalcons和StrongPity以及在该地区部署各种活动。
3、新出现的攻击活动
同时,在这一年中出现了许多新的活动,这些活动也主要集中在中东和东南亚。
这项活动是由ShaggyPanther,Sidewinder,CardinalLizard,TropicTrooper,DroppingElephant,Rancor,Tick group,NineBlog,Flyfox和CactusPete等亚洲攻击者参与 - 他们全年都在该地区活跃。 这些组织并非技术先进,使用各种方法来实现其目标。 他们通常对区域目标非常感兴趣,其主要目标是政府和军事目标。
在中东地区,我们看到了LazyMerkaats,FruityArmor,OpParliament,DarkHydrus和DomesticKitten等组织的活动。 Gorgon组织那样例外,因为它们也针对该地区以外的受害者进行攻击。
最后,我们还发现了对东欧国家和前苏联共和国表现出明显兴趣的新活动。 在这个组织中,我们找到了DustSquad,ParkingBear和Gallmaker。 他们似乎对海外大使馆以及中东的军事和国防目标感兴趣。
4一些攻击事件
即使先前描述的某些活动似乎没有技术上的进步,但这并不意味着它没有效果。回顾过去,我们可以引用一些公开案例,看起来这些攻击正在回到攻击者正在进行重大战略研究或可能对国家体感兴趣的点。
我们有几个例子。例如,APT15涉嫌针对向英国政府军事和技术部门提供服务的公司。 Intezer提供了有关该组活动的额外详细信息,但目前尚不清楚最终受害者是谁。
TEMP.Periscope涉嫌黑客攻击与南海有关的海事组织。这不是该行业成为目标的唯一案例,因为后来发现一名不知名的演员袭击了与意大利海军和国防工业有关的公司。
像Thrip这样的组织对于瞄准美国和东南亚的卫星通信公司和国防组织表现出明显的兴趣。
据“华盛顿邮报”报道,美国海军海底战争中心遭到一个与中国有联系的组织的袭击,导致614GB的数据和资料被盗。
其中一些群体及其受害者的重新出现似乎并非巧合。一些观察者甚至可能看到这些大型目标攻击的归因是某种默契的结果。
我们还观察到对世界各地的记者,政客和非政府组织的几次袭击。其中许多攻击涉及由向政府提供监视工具的公司开发的恶意软件。
例如,根据外部调查,在超过43个国家发现了NSO及其Pegasus恶意软件,表明该领域的业务正在蓬勃发展。在一个更黑暗的案例中,有报道称沙特持不同政见者和大赦国际志愿者如何成为这一恶意软件的目标。
最后,CitizenLab提供了一个活动的详细信息,其中Sandvine和GammaGroup工件通过埃及,土耳其和叙利亚的当地ISP进行监控。
5、关于Lazarus
这是一种新战略,作为一种防御机制和对攻击者的回应,其能够为APT组织工作。这可以在以后用于外交攻击,并在州一级导致更严重的后果。政府似乎不再羞于将这些攻击公之于众,并提供调查细节,同时指责可疑的攻击者。这是一个发展的机构,我们将看到它在未来的发展情况。
美国和中国之间在奥巴马时代网络协议的结束可能是中国卷土重来的原因,以及针对上述一些备受瞩目的“big fishes”的目标。我们看到,在这两个国家新的敌对时期,美国从比利时引渡了一名中国情报官员,他被指控企图从事多次美国航空和航天公司的经济间谍活动和窃取商业机密。
美国还提供了有关一名朝鲜公民的详细信息,**该公民涉嫌参与索尼娱乐攻击和WannaCry活动背后的Lazarus,现在FBI正在通缉他。在一个不相关的说明中,美国证明在这一年Lazarus非常活跃并提供了相应的IOC指标和详细Lazarus(HiddenCobra)活动和该组织使用的工具。
臭名昭着的DNC黑客入侵后,美国起诉了俄罗斯主要情报局26165和74455单位的12名俄罗斯公民。 GRU的七名官员也因涉嫌参与反对世界反兴奋剂机构的运动而被起诉,该运动暴露了俄罗斯国家赞助的兴奋剂计划。
在欧洲,英国官员和英国国家网络安全中心将2017年6月发生的Petya攻击归咎于俄罗斯军事单位。
最后,在一个非常有趣的举措中,美国网络司令部发起了一场“信息战”活动,向俄罗斯特工发出警告,甚至试图影响美国的中期选举进程。
所有上述以及其他几个案例都表明,在处理此类黑客攻击时,有一种新的学说,将其公之于众,并为媒体宣传,未来谈判和外交以及直接针对操作人员提供工具。
6. 攻击向物联网方面发展
恶意软件越接近硬件级别,检测和删除就越困难。这对攻击者来说并不是一件容易的事,因为通常很难找到利用链 来深入系统,以及开发在系统底层深层次可靠工作的恶意软件的难度。
最近发现在不同处理器中的漏洞为可能存在多年的漏洞打开了大门,因为更换CPU并不容易。目前尚不清楚Meltdown / Spectre和AMDFlaws如何在未来被利用和滥用,但攻击者并不需要匆忙,因为这些漏洞很可能会存在很长时间。即使我们还没有看到它们在野外被利用,我们相信这对于攻击者来说是一个非常有价值的知识,也可能及时提醒我们所有人关于硬件安全的重要性。
这导致了我们在VPNFilter攻击中实际看到的内容,在这种情况下,大规模定位网络设备。这项活动归因为俄语系的国家的活动,允许攻击者感染数十万台设备,控制网络流量并允许MITM攻击。我们看到APT组织过去滥用网络设备,但从未采取如此激进的方式。
7、其他方面
Triton / Trisis是一个以工业为目标的组织机构,在一年中受到欢迎,因为它在一些受害者主机上被发现,并被怀疑在攻击中使用0day漏洞,在攻击中攻击者关闭了炼油厂。根据FireEye的说法,攻击组织可能有俄罗斯背景。
在我们的预测中,我们已经讨论了在两个对手之间存在紧张局势的情况下破坏性攻击变得严重的可能性,使用附带受害者主机信息造成攻击并在这个危险的灰色区域中公开攻击并发送信息。
金融攻击者可能没有使用非常新的技术,但这可能是因为他们并不需要。卡巴纳克集团因其中一名领导人在西班牙被捕而被“斩首”;然而,这似乎并未对今年的Fin7活动产生任何影响。他们部署了针对连锁餐厅的新Griffon JavaScript后门。与此同时,该集团的一个可疑团体--CobonGoblin组织 - 也以更直接的方式对银行保持非常活跃的攻击。
相关连接:
