2019Q3信息系统威胁趋势报告

一、有针对性的攻击和恶意软件活动

1.1 针对中东的移动间谍活动

6月底，我们报告了一个具有高度针对性的恶意活动的详细信息，我们将其称为“Operation ViceLeaker”，该恶意活动通过即时消息传播Android恶意样本。这场恶意活动影响了以色列和伊朗的数十名受害者。我们在2018年5月发现了这一起恶意活动，当时以色列安全机构宣布哈马斯组织已经在以色列士兵的智能手机上安装间谍软件，与此同时我们还在威胁情报门户网站上发布了一份私有报告。我们认为，该恶意软件自2016年底就一直在持续开发，但在2017年底开始集中供暖分发。攻击者使用两种方法来安装这些植入程序：一种是将合法应用程序进行篡改，注入恶意Smali后门代码；另一种方法是攻击者创建了一个开源的“Conversations”通信应用程序，其中包含恶意代码。

1.2 APT33恶意组织增强了工具集

7月，我们发布了NewsBeef（又称为APT33，或Charming Kitten）在2016-2017年期间的恶意活动情况，NewsBeef是一个恶意组织，主要关注沙特阿拉伯和西方的目标。NewsBeef缺乏先进的攻击能力，此前曾进行长期、精心设计的社会工程学攻击活动，而这些活动利用了流行的社交网络平台。在以前的恶意活动中，该威胁参与者非常依赖于浏览器漏洞利用框架（BeEF）。但是，在2016年夏季，该恶意组织部署了一个新的工具集，其中包括启用宏的Office文档、PowerSploit和Pupy后门。在最近的恶意活动中，他们将这个工具集与鱼叉式网络钓鱼电子邮件结合，通过社交媒体发送的链接与独立的私有消息应用程序结合使用，并且利用被攻击的知名网站（部分网站属于沙特政府）进行水坑攻击。这个恶意组织每一年都改变他们的多个特征，包括所使用的战略、将恶意JavaScript注入到的网站以及命令和控制（C2）基础结构。我们的私有情报用户将收到有关NewsBeef等来自世界各地的1009个APT的重要活动情报和独特数据。

1.3 在野外发现新的FinSpy iOS和Android植入工具

我们最近报道了适用于Android和iOS的FinSpy最新版本。全世界的政府和执法机构都利用这个监控软件来收集个人数据。用于iOS和Android的FinSpy植入工具具有几乎相同的功能，它们能收集个人信息，包括通讯录、消息、电子邮件、日历、GPS位置、照片、内存中的文件、电话录音以及流行即时通讯软件Messenger的数据。Android植入程序中还包含通过滥用已知漏洞而获得root特权的功能。在iOS版本上，无法提供漏洞利用功能，因此只能利用在已经越狱的设备上，这导致必须要物理访问手机才能安装植入工具。在我们的最新研究中，我们在近20个国家之中检测到这些植入工具的最新版本，但我们认为实际感染的数量可能会更多。

1.4 Turla改进其工具集

Turla（又称为“Venomous Bear”、“Uroboros”和“Waterbug”），是一个使用俄语的知名恶意组织，以政府和外交机构为目标开展网络间谍活动，该恶意组织本季度对其工具集进行了重大更改。最值得注意的是，该组织将其臭名昭著的JavaScript KopiLuwak恶意软件包装在一个名为Topinambour的新投放工具中，这是一个新的.NET文件，Turla正在使用该文件通过受感染的安装程序包分发和投放JavaScript KopiLuwak，以安装合法软件程序（例如VPN）来规避互联网审查。恶意软件作者命名的Topinambour是Jerusalem的另一个名称。威胁参与者进行的某些更改旨在帮助其逃避检测。例如，C2基础结构使用的IP地址几乎是模拟普通的LAN地址。此外，该恶意软件几乎是完全“无文件”的：感染的最后一个阶段是一个用于远程管理的加密木马，它被嵌入到计算机的注册表中，以便在恶意软件就绪时可以访问。还有两个KopiLuwak的相似工具用于网络间谍活动，分别是.NET的RocketMan木马和PowerShell的MiamiBeach木马。我们认为，当目标计算机上存在能够检测到KopiLuwak的安全软件时，威胁行为者会部署这些版本。上述三种植入工具都能对目标进行指纹识别，收集有关系统和网络适配器的信息，窃取文件，同时还可以下载并执行其他恶意软件。MiamiBeach还具有截图的功能。

1.5 CloudAtlas使用新的感染链

CloudAtlas（又称为“Inception”）长期以来针对行业和政府机构开展网络间谍恶意活动。我们在2014年首次报道了该恶意组织，从那时起便持续跟踪其活动情况。在今年上半年，我们确定了该恶意组织针对俄罗斯、中亚地区以及乌克兰这些持续军事冲突地区的恶意活动。自2018年以来，Cloud Atlas一直没有改变其TTP（战术、技术和程序），并持续依靠现有的战术和恶意软件来攻击高价值的目标。威胁参与者的Windows入侵工具集仍然使用鱼叉式网络钓鱼电子邮件来定位其受害者，这些邮件中包含精心制作的Office文档，而这些Office文档使用了托管在远程服务器上的恶意远程模板（将每个受害者列入了白名单之中）。此前，Cloud Atlas在利用Microsoft公式编辑器漏洞（CVE-2017-11882和CVE-2018-0802）之后，直接投放了名为PowerShower的“Validator”植入工具。最近几个月，我们发现了一条新的感染链，涉及到多态性HTA，用于执行PowerShower的新型多态性VBS植入工具和Cloud Atlas第二阶段模块化后门（2014年披露）。

1.6 发现Dtrack银行恶意软件

在2018年夏季，我们发现了ATMDtrack，这是一种针对印度银行的银行恶意软件。我们使用YARA和Kaspersky ATTribution Engine尝试发现有关这个ATM恶意软件的更多信息。最终，我们发现了间谍工具超过180种新的恶意软件样本，我们现在将其称为Dtrack。我们最初发现的所有Dtrack样本都是实际投放的样本，因为实际的Payload已经使用各种投放程序进行了加密。根据ATMDtrack和Dtrack内存转储过程中使用的独特序列，我们得以找到它们。在我们解密了最终Payload并再次使用Kaspersky Attribution Engine之后，我们可以发现它与DarkSeoul恶意活动的相似之处，该恶意活动可以追溯到2013年，与Lazarus恶意组织相关。目前看来，攻击者重用了部分老代码来攻击印度的金融部门和研究中心。我们的遥测表明，最新的DTrack活动是在2019年9月起检测到的。这是一个很好的例子，可以说明正确的YARA规则和可靠的Attribution Engine能够帮助新型恶意软件与已知恶意软件家族之间的关联性。在这种情况下，我们可以在Lazarus恶意组织的武器库中添加另外一个家族——ATMDtrack和Dtrack。

二、其他安全新闻

2.1 Sodin勒索软件攻击MSP

四月，Sodin勒索软件（又称为“Sodinokibi”或“REvil”）引起了我们的注意，特别是这个勒索软件的传播方式格外引人关注。该木马利用CVE-2019-2725漏洞，在易受攻击的Oracle WebLogic服务器上执行PowerShell命令，从而使攻击者可以将投放工具上传到服务器，然后安装勒索软件Payload。该漏洞的修复程序在4月发布，但在6月底，还发现了另外一饿类似的漏洞——CVE-2019-2729。Sodin还对MSP进行了攻击。在某些场景中，攻击者使用Webroot和Kaseya远程访问控制台来发送木马。在其他场景中，攻击者利用RDP连接，使用特权提升的方式，在停用安全解决方案和备份之后攻破了MSP基础架构，然后将勒索软件下载到客户端计算机上。这种勒索软件也非常少见，因为它不需要受害者采取任何行动。我们的统计表明，大多数受害者位于亚太地区，包括台湾、香港和韩国。

勒索软件仍然是令消费者和企业头疼的一大问题。恢复勒索软件木马加密的数据通常是不可能的。但是，在某些情况下，也许可以。最近的案例包括Yatron和FortuneCrypt恶意软件。如果用户遭遇了勒索软件木马，我们建议用户可以首先在No More Ransom网站上查询是否有相应的解密工具可用。

2.2 Web挖矿的影响

恶意挖矿工具是劫持受害者的CPU来挖掘加密货币的程序。其攻击思路非常简单：感染计算机，使用其CPU或GPU的处理能力来挖掘加密货币，并通过合法交易来赚取现实中的钱。对于受感染的受害者来说，挖矿程序的存在并不明显，因为大多数人都不会使用计算机的全部处理能力，而加密货币挖掘工具占用了70%-80%的计算机资源。挖矿恶意软件可以与广告软件、破解版游戏和其他盗版内容一起安装。但是，还有另一种攻击场景，即使用嵌入式挖矿脚本，该脚本在受害者打开受感染的网页时启动。一旦攻击者感染了企业网络，那么可以被网络攻击者调配的CPU总量就变得非常巨大。但是，挖矿会有什么实际影响呢？我们最近正试图对恶意挖矿者产生的经济影响和环境影响进行量化，从而评估出防范恶意挖矿所产生的实际效益。

我们可以用公式来计算整体的节电效果，其中·N是加密货币挖掘过程中受害者设备功耗增加的平均值，N是根据卡巴斯基安全网络（KSN）的恶意挖矿阻止次数而得到的数值，该数字取自2018年的数据。经过计算后，得到的数字是18.8±11.8 GW，这是一年中所有比特币挖矿工具平均功耗的两倍。要基于这一功耗率评估出节省的能源总量，需要将这个数字乘以受害设备在Web挖矿上所花费的平均时间。也就是说，根据公式“·N·t”，其中“t”是网络挖矿工具没有受到产品阻止时的平均工作时间。由于我们无法从卡巴斯基的数据中获得该值，因此我们使用了第三方研究人员提供的开放数据，根据该信息，我们计算出使用安全产品的用户节省的电量预计为240-1670 MWh。以个人用户的平均用电价格来计算，北美居民所能节省的电费成本最高位200000美元，欧洲居民最高能节省250000欧元。

2.3 macOS威胁态势

目前，仍然有用户认为macOS上不存在严重威胁。当然，与Windows相比，macOS的威胁确实较少，但主要原因是Windows用户占据大多数。因此，攻击者可以将更多的Windows用户作为潜在受害者目标。但是，随着使用macOS系统的人数的增加，针对macOS的威胁数量也在增加。

我们的数据库中，当前包含针对macOS的206759个独特恶意文件和潜在有害文件。从2012年到2017年，遭受攻击的人数逐年增加，在2017年达到峰值，当时我们阻止了大约255000台运行macOS的计算机遭遇攻击。从那个时间节点之后，数据呈现逐渐下降的趋势。在2019年上半年，我们阻止了约87000次攻击。2019年，macOS的大多数威胁都属于广告软件类别，这类威胁往往更容易构建，并且能够为网络犯罪分子提供更好的投资回报。

针对macOS的网络钓鱼攻击数量也在逐年增加。在2019年上半年，我们检测到近600万次网络钓鱼攻击，其中有11.8%是针对企业用户的。遭受网络钓鱼攻击最多的国家是巴西（30.87%）、印度（22.08%）和法国（22.02%）。近年来，试图利用苹果品牌的网络钓鱼攻击数量也有所增加，似乎在以每年30-40%的速度在增长。在2018年，有近150万次此类攻击。而在2019年上半年，这一数字就已经超过了160万，已经比去年一整年增长了9%。

2.4 智能家居漏洞

我们有一位同事，已经将自己的房屋变成了智能家居，并且安装了Fibaro Home Center系统，以便他可以远程管理房屋内的智能设备，包括灯光、热水器、冰箱、立体声音响、浴霸、烟雾探测器、洪水传感器、网络摄像机和门铃。他邀请卡巴斯基ICS CERT团队的研究人员对自己的房屋进行测试，以了解其安全性。研究人员已经掌握智能家居的型号和IP地址。研究人员决定先不考虑Z-Wave协议，这是智能家居系统与设备进行通信的协议，原因在于这需要物理上靠近房屋。除此之外，研究人员也放弃了利用编程语言解释器的思路，因为Fibaro已经安装了补丁。

尽管Fibaro致力于防范这类漏洞，但我们的研究人员仍然发现了一个远程SQL执行漏洞，并且还在PHP代码中发现了另外一部分远程代码执行漏洞。一旦被利用，这些漏洞将使攻击者完全获得智能中心的root访问权限，从而完全控制智能中心。攻击者还发现Fibaro云中存在严重漏洞功能，攻击者可能会用该漏洞访问从全球Fibaro智能家居上传的所有备份。这也就是我们的研究团队之所以能获取特定家庭中Fibaro家庭中心存储的备份方案的方式。除了许多其他内容之外，这个备份还包含一个数据库文件，其中包含许多个人信息，包括房屋的位置、所有者智能手机中的地理位置数据、用于向Fibaro注册的电子邮件地址、有关所有者家中智能设备的信息，甚至是所有者的密码。实际山，Fibaro Group创造了一个相当安全的产品，并且该厂商还与我们的研究人员紧密合作，迅速修复了我们提交的漏洞。

2.5 智能建筑的安全性

本季度，我们还研究了建筑物自动化系统的安全性，涉及到传感器和控制器，这些传感器和控制器用于管理电梯、通风、供暖、照明、电力、供水、视频监控、警报系统、灭火系统以及其他工业设施。这样的系统不仅应用于办公楼和住宅楼，而且还用于医院、购物中心、监狱、工业生产环境、公共交通以及其他需要控制较大规模工作或生活区域的地方。我们查看了针对基于建筑物的自动化系统的实时威胁，并查看在2019年上半年遭遇到的部分恶意软件。

大多数被组织的威胁都不是针对性的，也不是基于特定的建筑物自动化系统的，而是经常会在与自动化系统无关的组织内部网络上经常发现常见的恶意软件。这些恶意软件可能导致文件加密（例如数据库加密），也可能造成网络设备或工作站由于恶意流量和不稳定的漏洞利用而导致的拒绝服务，这样的威胁仍然可能对自动化系统的可用性和完整性产生重大影响。间谍软件和后门程序构成了更大的威胁，因为可以使用失窃的身份验证数据和提供的远程控制功能来计划和实施针对建筑物自动化系统的有针对性攻击。

2.6 智能汽车和互联设备

卡巴斯基近年来对智能汽车的安全性进行了研究，发现了许多安全问题。随着汽车变得越来越智能，互联程度越来越高，它们也逐渐暴露越来越多的弱点。并且，这不仅仅体现在智能汽车及其支持的应用上。目前，从汽车检测工具到改装配件，整个汽车配件市场上都致力于在设计中改善驾驶体验。在最近的一份报告中，我们检查了许多车联网设备，并检查了它们的安全设置。这样的研究过程让我们能够了解这些设备中存在的安全性问题。我们进行分析的目标对象包括一些自动扫描工具、一个仪表盘摄像头、一个GPS定位器、一个智能警报系统以及一个压力/温度监控系统。

我们发现，这些设备具有比较充分的安全机制，与此同时还存在着一些小问题。造成这些问题的原因，是由于设备功能受限，或者厂商认为相应攻击行为不会导致严重的后果。但是，随着我们科学技术的不断发展，我们应该关注，产品越智能化，就应该越关注开发和更新过程中的安全性。一旦在开发过程中出现疏漏，或者存在未修复的漏洞，都可能导致攻击者劫持受害者的汽车，或者能够监控整个车辆。

我们将持续开发KasperskyOS，以帮助客户保护连接的系统，包括移动设备、计算机、物联网设备、智能能源系统、工业系统、电信系统和交通系统。

如果您正在考虑购买一个汽车智能化产品，应该首先考虑其安全风险。我们需要检查设备是否存在任何漏洞，以及是否能够对设备进行安全更新。不要轻易购买最新发布的产品，因为其中可能包含尚未发现的安全漏洞，最佳的选择是购买已经更新过几次的产品。最后，轻时重考虑移动设备的安全性，特别是Android设备的安全性——尽管应用程序使生活变得更轻松，但是一旦智能手机遭到恶意软件的攻击，就可能会导致一些严重的后果。

2.7 个人数据窃取

我们可能已经习惯了接连不断的数据泄露新闻报道。最近的数据泄露案例包括有攻击者从CafePress窃取了23205290个电子邮件地址及使用Base 64 SHA-1编码的用户密码。令人担忧的是，这一黑客入侵行为是由“Have I Been Pwned”首先披露的，CafePress直到数据泄露发生的几个月后才将这一情况通知给客户。

8月，两名以色列研究人员从Suprema Biostar 2生物访问控制系统暴露的一个数据库中发现了指纹、面部识别数据和其他个人信息。生物特征数据的信息泄露特别引人关注。如果攻击者获取了我的密码，我还可以做更改，但如果攻击者获取到生物识别信息，这个信息则是伴随终身、无法修改的。

Facebook因多次未能正确处理客户数据而饱受批评。在接连发生的事件中，最近发生的一起事件是在没有密码保护的互联网服务器上发现Facebook帐户关联的数亿个电话号码。每一条记录都包含一个唯一的Facebook ID和帐户对应的电话号码，该信息的泄露将导致受影响的Facebook用户容易受到垃圾邮件和营销电话的侵扰。

9月12日，移动游戏公司Zynga报告称，外部黑客可能非法访问了一些玩家的帐户数据。随后，一个名为Gnosticplayers的黑客声称已经攻破了Words With Friends、Draw Something和OMGPOP（已停产的游戏）的玩家数据库，从而泄露了超过2亿个Android和iOS玩家的数据。尽管Zynga发现了这一漏洞并通知了客户，但令人担心的是，该厂商以明文存储了密码。

作为普通用户，我们在将个人数据提交给在线服务提供商之后，往往无法保证个人数据的安全性。但是，我们可以向在线服务提供商创建唯一且难于猜测的密码，或者使用密码管理器辅助我们记录不同的密码，以此控制在线服务提供商可能出现的安全漏洞所造成的损失。通过启用在线服务提供商的双因素身份认证，我们也可以进一步减少帐户被攻陷的可能性。

除此之外，还需要关注的是，攻击在线服务提供商的服务器并非网络犯罪者获取密码和其他个人数据的唯一途径。攻击者可能还会直接获取存储在用户计算机上的数据。具体包括存储在浏览器中的数据、存储在硬盘中的文件、系统数据、帐户登录信息等。我们的数据显示，在2019年上半年，有94万人受到信息窃取类恶意软件的攻击。我们建议广大用户使用专业软件来存储帐户密码和银行卡详细信息，不要依赖于浏览器的“自动记住”功能。