卡巴斯基：APT组织2019行为大盘点（上）

在即将过去的2019年，APT组织又做了哪些恶？它们的发展动向是什么？我们又能从其中挖掘出怎样的规律？这些问题想要直白回答并不容易，因为研究人员不可能完全了解所有攻击事件及它们背后的发展动机，但我们可以试着从不同的角度来处理这个问题，以便更好地理解所发生的事情，并从中获得后见之明。

供应链攻击

近年来，供应链攻击是最危险和有效的感染途径之一，越来越多地被用于高级攻击行动中——其中最知名的要当属ShadowPad后门、勒索软件ExPetr和被后门化的工具CCleaner。这种攻击针对了产品生命周期中，从初始开发阶段到最终用户的各个环节，涉及人力、组织、物资和智力资源的种种。哪怕供应商的基础设施是安全的，但其提供商的设施中可能包含漏洞，从而危害到供应链，导致毁灭性和意外的数据泄露事故。

今年1月，我们就发现过一起名为ShadowHammer 行动的供应链攻击事件。攻击者以华硕的实时更新应用程序为感染初始源进行攻击。这种实时更新应用程序是一种预装应用，用于自动进行BIOS、UEFI驱动和应用程序更新。攻击者使用窃取到的华硕数字证书对旧版本的华硕软件进行更改，注入自己的恶意代码，包含木马的华硕应用程序使用了合法的数字签名，并且被放到官方的华硕更新服务器上进行传播和下载，使得大多数安全解决方案无法将其识别。据估计，有 50 万用户通过华硕的自动更新收到了恶意后门，但攻击者只对其中 600 台计算机发动了针对性的后续攻击。

APT组织信息反泄露

今年3月，有人在Twitter上泄露了隶属于伊朗国家背景的APT攻击组织APT34（又名oilrig、HelixKitten）的黑客工具及相关人员信息。安全专家证实泄露信息确实跟APT 34组织有关。公布的信息还包括66个APT34组织受害者，主要是中东地区的政府机构和金融、能源等企业，与之前所掌握关于APT 34组织的情况相符。

4月22日，另一针对中东国家地区的APT组织MuddyWater信息又遭曝光，一个名为Bl4ck_B0X的用户在Telegram频道上公布了MuddyWater组织成员信息，甚至具体到成员的父母和配偶，4月27日还曝光了 其C2服务器的相关信息，但到了5月1日，该频道对公众关闭，状态改为私人，关闭的原因尚不清楚。

之后Hidden Reality网站上又曝光了伊朗RANA研究所数据，这次攻击者选择了任何人都能浏览的网站，披露了RANA机构计算机网络运营相关的内部文档、聊天记录，以及受害者信息等。此前揭秘的信息更多会集中在工具、源代码和配置文件上。

第三季度，中东地区的APT事态发展值得关注，尤其是伊朗短时间内又发生了多起数据泄密事件。

在对泄漏者所使用的材料，基础设施和专用网站的仔细分析后，我们推测上述这些事件可能都与Sofacy / Hades组织有关。

新组织现身

2017年，神秘黑客团体Shadow Brokers泄露了一个名为“ Lost in Translation ”的数据库，据称是从美国国家安全局（NSA）处入侵获得，包含一系列漏洞利用和黑客工具，比如大名鼎鼎的永恒之蓝漏洞和WannaCry勒索病毒。

但重点是，泄露的文件中还有一个名为sigs.py的Python脚本文件，该文件被NSA用作内置的恶意软件扫描程序，可以检查系统是否已被另一个APT组织破坏，即他国网军的攻击痕迹，从而通过是否存在攻击痕迹而执行下一步操作。文件执行的每次检查都是作为在系统中查找唯一签名的函数实现的，例如唯一名称或注册表路径的文件。sigs.py中列出了44个条目，也就是NSA能识别的44个APT组织，其中许多APT组织都尚未曝光于公众面前。

而今年，我们确定了sigs.py文件中标注的第27个APT组织——DarkUniverse。根据代码相关性，我们认为 DarkUniverse 就是操纵ItaDuke 恶意行动的幕后黑手，此次行动针对西亚和非洲东北部的医疗机构、核能机构、军事组织和电信公司进行，共有20多个单位受到影响。他们使用的主要组件是一个相当简单的 DLL，仅具有一个导出的功能，却能实现了持久性、恶意软件完整性、C2 通信以及对其他模块的控制。

移动攻击

移动攻击现在几乎成了每个APT组织的标配了，2019年有许多这样的案例发生。

今年5月，英国《金融时报》报道称，黑客利用了WhatsApp的一个0 day漏洞，能读取用户的加密聊天记录、开启麦克风和摄像头、安装间谍软件等，而利用漏洞的过程只需要攻击者通过WhatsApp给用户打电话即可，通过呼叫触发WhatsApp的缓冲区溢出，进而让攻击者控制应用程序并在其中执行任意代码。WhatsApp很快就发布了一个漏洞补丁。10月，WhatsApp对以色列NSO集团提起诉讼，指控后者对这一漏洞的开发利用行为，并声称NSO将此技术用于20个不同国家的1400多名客户身上，其中包括人权活动人士、记者及其他相关人士，但诉讼遭到了NSO的否决。

7月，我们介绍了在野发现的最新版FinSpy间谍软件。FinSpy是由德国Gamma Group公司制造的间谍软件，通过其在英国的子公司Gamma Group International向全球的政府和执法机构出售，被用于在各类平台上收集用户的私人信息。FinSpy有iOS和Android两个版本，出现在近20个国家。

8月，谷歌的Project Zero团队发表报告分析了至少14个在野发现的iOS 0 day漏洞，这些漏洞被用在5个开发链中，影响从 iOS 10 到 iOS 12 的几乎每一个版本。14个漏洞中有 7 个面向 iPhone 的 Web 浏览器、五个面向内核、两个瞄向单独的沙箱转义。据谷歌报道，攻击者可能从三年前就开始对一些网站发起水坑攻击，但谷歌没有列举被入侵网站的详细信息，只声称这些网站“每周都有成千上万的访问者”，是一种没有针对性的攻击。

9月，“网络军火商”Zerodium公司表示，Android的0 day现在要比iOS的价值高，公司愿意为零点击的Android 0 day支付250万美元的费用，相比该公司之前为远程iOS越狱支付的200万美元的上限有了大幅提高。同一月份，Android媒体驱动程序v412 (Video4Linux) driver被曝出高危0 day漏洞，同时又曝出另一Android漏洞，攻击者可以使用SMS消息完全访问受感染设备上的电子邮件，这一漏洞使超过10亿的三星、华为、LG、索尼等智能手机受到影响。

APT组织的发展动向

Turla

今年在调查中亚的一些恶意活动时，我们确定了一个名为Tunnus的新后门，并将其归于Turla APT组织。Tunnus是基于.NET的恶意软件，能够在受感染的系统上运行命令或执行文件操作并将结果发送到C2。

Turla还创建了一个名为Topinambour的新dropper，用于分发其臭名昭著的恶意软件JavaScript KopiLuwak。恶意软件几乎完全是“无文件的”：只有在感染的最后阶段，将一个用于远程管理的加密木马嵌入计算机的注册表中。Turla组织还用两个跟KopiLuwak类似的恶意软件进行网络间谍活动——.NET RocketMan木马和PowerShell MiamiBeach木马。

Turla的另一款新工具Reductor是COMPfun木马的继承者，攻击者入侵Chrome和Firefox浏览器后可以利用TLS追踪用户。Reductor一个引人注目的方面是，攻击者花了很多精力来操纵已安装的数字根证书，并使用惟一的与主机相关的标识符标记出站TLS流量。该恶意软件将嵌入式根证书添加到目标主机，允许操作员通过命名管道远程添加其他证书。攻击者不需要接触网络数据包，相反，他们分析了Firefox源代码和Chrome二进制代码，修改了其中的PRNG代码，并针对每个用户添加唯一的标识符，从而使TLS流量带有唯一的指纹，导致黑客能够轻易在网络上追踪来自受感染主机的加密流量。

Sofacy

Zebrocy是我们于2015年底发现的一款归属于Sofacy组织的恶意软件家族，由Delphi下载器、AutoIt下载器和Delphi后门组成，主要针对欧亚地区进行间谍活动。今年Zebrocy再次升级，在6月份对东南亚某一外交事务机构的攻击中使用了一个新Python脚本——PythocyDbg，此脚本主要提供网络代理和通信调试功能的秘密收集。

早在2019年初，Zebrocy就改变了开发方向，使用了Nimrod/Nim语言，这是一种语法类似于Pascal和Python的编程语言，可以把目标程序编译为JavaScript 或 C 语言。该组织用于鱼叉式网络钓鱼的Nim下载程序和其他Nim后门代码目前都由Zebrocy生成，并与AutoIT脚本、Go和Delphi模块一起交付。

今年9月，Zebrocy在欧洲多地发起攻击，试图获取电子邮件通信、凭据和敏感文件，此次行动主要针对的是各国的国防和外交机构。

Platinum

6月，我们发现一系列高度复杂的网络间谍攻击行动，其目的是窃取南亚的外交、政府和军事实体的信息。这些攻击行动持续了近六年，对其中使用的工具手段进一步调查后发现，背后的攻击者为PLATIUM组织——一个我们认为已经消失的网络间谍组织。能在如此长的时间里保持行动隐蔽，是因为Platinum使用了一种前所未见的隐写技术。

而今年年末，我们又发现了Platinum的一个新后门——Titanium，该恶意软件与一个称为ProjectC的工具集之间存在某些相似性，说明之前利用ProjectC进行的CloudComputating行动也可以归因于Platinum。

Lazarus

去年，Lazarus组织利用AppleJeus恶意软件对Mac OS用户展开加密货币窃取行动，今年又使用自定义PowerShell脚本来管理和控制Windows/macOS 恶意软件，进一步拓展了加密攻击。

Lazarus更新工具的速度很快，除了加密攻击外，还窃取了韩国某游戏公司的程序源码售卖。到了三季度，又入侵了缅甸一家银行，通过公共登录凭据转储程序和自制的PowerShell脚本进行横向移动来获取高价值主机信息。

Lazarus旗下有两个子组织，分别名为BlueNoroff和Andariel，后者专注于韩国的地缘政治和金融情报的间谍活动。今年，Andariel为易受攻击的weblogic服务器构建新的c2基础设施，攻击者成功后会植入了由韩国安全软件供应商合法签名的恶意软件。由于韩国方面的快速反应，这个签名很快就被撤销了。恶意软件是一种全新的后门，名为Apollozeus，它是由一个具有复杂配置的shellcode启动的。这个后门使用了一个相对较大的shellcode，以使分析变得困难。此外，它还会谨慎地执行最终的有效负载。这个恶意软件的发现让我们找到了几个相关的样本，以及攻击者用来传播它的文档。

DarkHotel

10月，我们发现了一起面向朝鲜的钓鱼攻击事件，主要针对商人，外交实体和人权组织，攻击者使用了高针对性的Ghost RAT恶意软件，可完全控制受害者电脑。据推测，这场行动已经进行了三年多。

Lamberts

Lamberts是一个或多个威胁组织都在使用的工具集，它包括网络驱动的后门、几代模块化后门、信息收集工具以及用于实施破坏性攻击的擦除器。有关Lamberts的更多信息，请参见我们之前“拆解Lamberts工具包”的报告。

今年，Lamberts军火库中又添加了几类新武器。Silver Lambert似乎是Gray Lambert的继任者，它是一个成熟的后门，能实现一些特定的NOBUS和OPSEC概念，例如通过检查服务器SSL证书哈希来防止C2 sink-holing ，为孤立实例自动卸载（即C2不可用的地方）和低级文件擦除功能。中国航空部门就受到过Silver Lambert的影响。

Violet Lambert是一种模块化后门，应该是在2018年开发部署的，能在各种Windows版本（包括Windows XP，Vista和更高版本的Windows）上运行，我们在中东地区观察到了它的存在痕迹，同时还发现了另外三种后门——前两个称为Cyan Lambert（包括Light和Pro版本），第三个称为Magenta Lambert，后者重用了较早的Lamberts代码，并且与Green、Black和White Lamberts具有多个相似之处。此类恶意软件能进行网络侦听，等待魔术ping，以及能非常隐蔽地执行payload，而我们一直无法对其进行解密。就在我们发现后不久，所有受感染的电脑都离线了。

LuckyMouse

LuckyMouse组织至少自2018年4月以来便一直针对越南政府和外交实体展开“SpoiledLegacy”攻击行动，此次行动被怀疑是是之前IronTiger行动的继承。攻击者使用Cobalt Strike和Metasploit渗透测试框架，主要以网络服务的漏洞为初始感染媒介，此外也通过钓鱼邮件进行感染。除了渗透测试框架外，攻击者还使用NetBot下载器和内网穿透大杀器——EarthWorm，以及将HTran TCP代理源代码包含到恶意软件中来重定向流量。一些NetBot配置数据包含LAN IP，表明它从本地网络中另一台受感染的主机下载下一阶段文件。

LuckyMouse此次的目标依然是内部数据库服务器。感染的最后阶段，攻击者针对32位和64位系统，分别使用特制的注入系统进程内存的木马。值得强调的是，感染链中的所有工具，都使用了泄漏的HackingTeam代码，动态混淆Win32 API调用。

从2019年初开始，我们在中亚和中东观察到LuckyMouse活动的激增。攻击者似乎将重点放在电信运营商、大学和政府上。感染媒介是鱼叉式网络钓鱼以及可能的水坑攻击。尽管去年有很多文章都讨论了LuckyMouse的TTP，但LuckyMouse并没有对其进行任何更改，仍然依靠自己的工具在受害者的网络中站稳脚跟。在新活动中，他们使用HTTPBrowser作为第一阶段，用Soldier Trojan作为第二阶段。LuckyMouse更改了其基础设施，因为它似乎只依赖于IPv4地址，而不是C2的域名，我们认为这是为了限制相关性。

HoneyMyte

HoneyMyte APT已经活跃好几年了，在过去的几年中采用了多种技术，对缅甸、蒙古、埃塞俄比亚、越南和孟加拉国的政府，以及位于巴基斯坦、韩国、美国、英国、比利时、尼泊尔、澳大利亚和新加坡的外国大使馆发起攻击。今年将目标对准了缅甸自然资源管理相关的政府组织和一个非洲大陆组织，表明HoneyMyte的主要动机之一是收集地缘政治和经济情报。

Icefog

自2011年以来，Icefog一直针对主要位于韩国，日本和亚洲中部的政府机构、军事承包商、航运组织、电信运营商、卫星运营商、工业和高科技公司和大众媒体。在2013年该组织被曝光后，运作速度有所放慢，然而2018年后，Icefog又开始对中亚的政府机构和军事承包商发起了大规模进攻。

在最新一波攻击中，感染始于包含了恶意文件的鱼叉式网络钓鱼电子邮件，利用已知漏洞并最终部署了payload。在2018年到2019年初，最终的payload都是典型的Icefog后门，但自2019年5月以后，攻击者似乎改变了立场，转向使用Poison Ivy后门。Poison Ivy是一类恶意DLL文件，使用了一种称为加载顺序劫持（load order hijacking）的技术，通过合法签名的程序进行加载。这种技术非常普遍，在以前的Icefog活动中也使用过。

在调查过程中，我们还检测到横向运动中使用的工具，我们观察了从GitHub下载的公共TCP扫描器、从系统内存转储凭证的Mimikatz变体、用于窃取敏感信息的自定义键盘记录程序，以及另一个名为Quarian的新版本后门的使用。Quarian后门被用来在受害者的基础设施内创建隧道以避免网络探测。Quarian的功能包括操作远程文件系统、获取受害者信息、窃取保存的密码、下载或上传任意文件、使用端口转发创建隧道、执行任意命令和启动反向shell。