2024 年第一季度 APT 趋势报告

观察与发现

Gelsemium组织执行服务器端攻击，有效地生成Webshell，并通过秘密技术和技术部署的各种自定义和公共工具。两个主要植入程序SessionManager和OwlProxy于2022年在Exchange Server的ProxyLogon类型漏洞利用之后首次被检测到。

最新调查是由于2023年11月在位于巴勒斯坦的一台服务器上发现可疑活动而引发的，其中检测到在2023年10月12日发生过一次违规尝试痕迹。有效负载的服务方式很独特，隐藏为字体文件，以压缩和加密为主。

Careto是一个高度复杂的威胁组织，自2007年以来就一直以各种知名企业为目标展开网络攻击。但是，观察到该威胁组织最后一次实施的操作是在2013年。此后，没有见到有关Careto活动的信息。

最近的威胁追踪中值得注意的是，Careto参与者使用了自定义技术，例如使用MDaemon电子邮件服务器来维持组织内部的立足点或利用HitmanPro Alert驱动程序来实现持久性。

总的来说，Careto使用了三种复杂的植入程序进行恶意活动，我们将其称为“FakeHMP”、“Careto2”和“Goreto”。

中东

在三月，安全研究人员发现了一种新的恶意软件活动，针对中东的政府实体。我们称其为“DuneQuixote”。调查发现了30多个DuneQuixote滴管样本在此次活动中活跃使用。这些植入程序代表了名为“Total Commander”的合法工具的安装程序文件被篡改。它们携带用于下载更多有效负载的恶意代码，其中至少有一些是被称为“CR4T”的后门样本。

在发现时，仅识别出两个此类植入程序，但我们强烈怀疑是否存在其他可能以完全不同的恶意软件形式出现的植入程序。该组织优先考虑防止对其植入程序进行收集和分析——DuneQuixote活动在网络通信和恶意软件代码方面都展示了实用且设计良好的规避方法。

在关于Oilrig APT的上一份报告讨论了IT服务提供商如何可能被用作接触其客户作为最终目标的枢纽点，并且我们不断跟踪威胁分子的活动以识别相关的感染尝试。在此过程中检测到另一项活动，可能是同一威胁分子所为，但这次的目标是中东的一家互联网服务提供商。在这项新活动中，攻击者使用了基于.NET的植入程序，该植入程序是使用VB和PowerShell进行的。该植入程序因其功能名称而被命名为“SKYCOOK”，它是一个远程命令执行和信息窃取实用程序。该攻击者还使用了基于自动热键（AHK）的键盘记录器，类似于之前入侵中使用的键盘记录器。

东南亚及朝鲜半岛

在过去几年中，我们一直在跟踪DroppingElephant的活动。最近，在其操作中检测到了多个Spyder后门样本，以及Remcos RAT以及少数情况下的其他恶意RAT工具。据观察，威胁分子滥用DISCORD CDN网络，并利用恶意.DOC和.LNK文件向南亚的受害者提供这些远程访问工具。奇安信详细介绍了Spyder后门及其针对南亚多个实体的用途。在我们的报告中，我们分享了新发现的IoC以及基于遥测的目标组织类型。

2023年底，我们发现了Kimsuky组织精心策划的一种恶意软件变种，该变种利用韩国独有的合法软件传播。虽然用于操纵该合法程序作为初始感染向量的精确方法仍不清楚，但我们确认合法软件与攻击者的服务器建立了连接。随后，它检索了恶意文件，从而启动了恶意软件的第一阶段。

初始阶段的恶意软件充当传统安装程序，旨在引入补充恶意软件并建立持久性机制。安装程序执行后，会生成后续阶段加载程序，并将其添加到Windows服务中以自动执行。此序列中的最终有效负载是以前未知的基于Golang的恶意软件，称为“Durian”。 Durian拥有全面的后门功能，可以执行所发送的命令、下载额外的文件和泄露文件。

在Durian的帮助下，运营商实施了各种初步方法来维持与受害者的联系。首先，他们引入了名为“AppleSeed”的额外恶意软件，这是Kimsuky组织常用的基于HTTP的后门。此外，他们还整合了合法工具（包括ngrok和Chrome远程桌面）以及自定义代理工具来访问目标计算机。最终，攻击者植入恶意软件来窃取浏览器存储的数据，包括cookie和登录凭据。

根据遥测数据，我们确定了韩国加密货币行业的两名受害者。第一次泄露发生在2023年8月，第二次泄露发生在2023年11月。值得注意的是，我们的调查在这些事件中没有发现任何其他受害者，这表明攻击者采取了高度集中的目标定位方法。

鉴于该攻击者专门使用AppleSeed恶意软件（一种历史上与Kimsuky组织相关的工具），所以大概率可判定将这些攻击归因于Kimsuky。然而，有趣的是，这又与安达利尔组织之间存在着微妙的联系。

Andariel以采用名为“LazyLoad”的自定义代理工具而闻名，似乎与本次攻击中的攻击者有相似之处，正如我们在研究期间观察到的那样，攻击者也使用了LazyLoad。这种微妙的联系值得进一步探索这两个威胁组织之间的潜在合作或共享策略。

ViolentParody是在一家韩国游戏公司内部检测到的后门，最新部署是在今年1月。威胁分子通过感染位于内部网络共享上的批处理文件来在组织的网络上分发此后门。执行所述受感染的.BAT文件会导致启动MSI安装程序，该安装程序又会在计算机上删除后门，并将其配置为通过计划任务和COM对象持续存在。

对该后门的分析表明，它可以收集受感染机器上的侦察数据，执行文件系统操作并注入各种有效负载。我们还观察到该后门背后的威胁分子启动了渗透测试工具，例如Ligolo-ng、Inveigh和Impacket。我们将报告中描述的活动归因于Winnti，但可信度较低。

近几个月来，威胁分子SideWinder对亚洲和非洲的知名实体发起了数百次攻击。大多数攻击都是从鱼叉式网络钓鱼电子邮件开始，其中包含Microsoft Word文档或ZIP存档（其中包含LNK文件）。该附件启动了一系列事件，导致使用不同的JavaScript和.NET加载器执行多个中间阶段，最终以在.NET中开发的仅在内存中运行的恶意植入程序结束。

在调查过程中，我们观察到一个相当大的基础设施，由许多不同的虚拟专用服务器和数十个子域组成。许多子域被认为是为特定受害者创建的，命名方案表明攻击者试图将恶意通信伪装成来自与政府实体或物流公司相关的网站的合法流量。

SideWinder历来针对南亚的政府和军事实体，但在本次事件中，目标范围有所扩大。该黑客还危害到了东南亚和非洲。此外，我们看到欧洲、亚洲和非洲的不同外交实体受到了损害。目标范围的扩大还包括新行业，物流领域（更具体地说是海运物流）新目标的发现证明了这一点。

Lazarus组织的武器库中拥有各种恶意软件集群，并不断更新其功能和技术以逃避检测。然而，有时也可以观察到该攻击者使用其旧的恶意软件。

最近检测到黑客正在测试其工具ThreatNeedle。恶意软件作者利用绑定工具创建初始阶段的恶意软件，以传递和植入最终的有效负载。绑定工具的主要目标是组装恶意软件安装程序、实际负载和配置。

此外，我们还发现受影响计算机中的各种恶意文件在发送受害者的个人资料后获取下一阶段的有效负载。这种下载器恶意软件是Lazarus的典型作案手法。不过，该组织此时采用了更为复杂的HTTP通信格式，以逃避网络层面的检测。通过调查攻击者使用的命令与控制(C2)资源，我们发现NPM包包含恶意JavaScript代码，可在不通知用户的情况下传播恶意软件。其中大多数都伪装成与加密货币相关的程序，并且能够从攻击者控制的服务器下载额外的有效负载。这是与过去观察和报道的计划高度相似的策略。

黑客行动主义

黑客行动主义是黑客行为和激进主义的结合，通常被排除在公司的威胁概况之外。此类威胁分子通常活跃于所有类型的危机、冲突、战争和抗议等事件中，目标是使用数字手段发送政治、社会或意识形态信息。

SiegedSec在2023年加强了其国际黑客入侵和活动。这个小组织自2022年以来一直活跃，主要进行黑客和泄密行动。与LulzSec等过去的黑客行动组织一样，最初只是“为了lulz”进行黑客泄露和破坏性行动，后来演变为在全球范围内追求社会正义相关目标的多重进攻行动。

这些活动还导致与作为“五大家族”黑客行动团体一部分的其他网络犯罪组织进行协调，尽管SiegedSec后来因涉嫌不当行为而被驱逐。

他们最近的进攻活动取决于当前的社会政治事件。以网络应用程序为中心的攻击活动以公司、工业和政府基础设施为目标，并泄露被盗的敏感信息。目前，该组织成员仍然在逃。

在以色列与哈马斯冲突期间，来自世界各地的黑客活动有所增加，包括拒绝服务（DoS和DDoS）、网络篡改、人肉搜索和旧漏洞回收。目标和受害者主要是以色列和巴勒斯坦的基础设施。但由于这场冲突双方都有支持者，黑客活动分子也将目标瞄准支持国家的基础设施。

为了减少此类威胁分子的暴露，首先重要的是在发生类似事件时更新威胁/风险概况。

其次，了解与各自国家或机构相关的技术风险至关重要，并通过确保安全访问和更新软件来防止未经授权的访问。

第三，DoS/DDoS准备就绪至关重要。尽管这些攻击是暂时的，只是在正常服务恢复之前在有限的时间内拒绝访问，但相应的工具已广泛使用，并且它们对业务运营的破坏性影响可能会根据攻击持续时间和规模而有所不同。因此，必须采取措施来减轻应用程序和流量攻击。

最后，如今数据泄露几乎是不可避免的。黑客可能只是从窃取的凭据开始获得完整的企业访问权限并泄露敏感数据。然后，这些数据可能会在未来的事件中被回收，将妥协的热门话题与黑客行动主义的消息联系起来，以便它可以被广泛听到。缓解这种情况的最佳方法是首先防止数据泄漏。实施监控网络流的方法有助于识别异常大的出站数据流，这些数据流可能会在早期被阻止。

其他发现

2019年，一场持续性活动利用了当时名为“Spyrtacus”的新型Android恶意软件，该恶意软件用于针对意大利的个人。该工具与HelloSpy有相似之处，HelloSpy是一种臭名昭著的跟踪软件，用于远程监控受感染的设备。

威胁分子于2018年首次开始通过Google Play分发恶意APK，但在2019年转向伪造恶意网页，以模仿与最常见的意大利互联网服务提供商相关的合法资源。多年来，我们一直在持续监控这一威胁。观察到一个以前未知的为Windows开发的Spytacus代理。在调查过程中，其他子域名被发现，这表明存在针对iOS和macOS的植入程序，并可能表明该组织的活动已扩展到欧洲、非洲和中东的其他国家。

写在最后

虽然一些威胁分子的TTP随着时间的推移保持一致，例如严重依赖社会工程作为在目标组织中获得立足点或危害个人设备的手段，但其他威胁分子已经更新了他们的工具集并扩大了他们的活动范围。

以下是在2024年第一季度看到的主要趋势：

· 本季度的主要亮点包括Kimsuky在韩国的供应链攻击中使用基于Golang的后门Durian，以及针对中东的活动，包括Gelsemium等APT，但也包括黑客攻击。

· 用于针对意大利个人的Spyrtacus恶意软件表明，威胁分子继续针对多个平台进行开发，包括移动恶意软件。

· APT活动在地理上仍然非常分散。本季度，报告中主要针对欧洲、美洲、中东、亚洲和非洲的活动。

· 黑客针对各个部门的攻击，包括政府、外交、博彩、海运物流和ISP。

· 地缘政治仍然是APT发展的关键驱动力，网络间谍活动仍然是APT活动的首要目标。

· 黑客活动主要围绕以色列-哈马斯冲突，但并不完全如此，正如SiegedSec的活动所表明的那样。