卡巴斯基：APT组织2019行为大盘点（下）

一些新面孔

ShaggyPanther工具集

2018年1月，我们在报告“ShaggyPanther – Chinese-speaking cluster of activity in APAC”中介绍了ShaggyPather，它是一个针对台湾和马来西亚的恶意软件和入侵工具集。相关的组件和活动可以追溯到十多年前，类似的代码可以根据时间戳追溯到2004年。此后在另外几个地方也检测到了shaggypanther活动。最近的一次发生在7月份印度尼西亚的服务器上，3月份在叙利亚的服务器上也发现了该活动。2018年和2019年后门代码存在新的混淆功能，不再有明文C2字符串。自最初发布以来，研究人员使用sinochopper/chinachopper从攻击者上识别出了一个初始的服务器端感染载体。sinochopper不仅用于主机识别和后门，还用于电子邮件盗窃和其他活动。

TajMahal APT框架

今年4月，我们发表了关于TajMahal的报告。TajMahal是一个此前不为人知的APT框架，在过去5年中一直很活跃。

TajMahal框架被认为包括两个主要程序包，自称为“Tokyo”和“Yokohama”。Tokyo是两个中较小的一个，包括约3个模块。它包含主要的后门功能，还会定期与命令和控制服务器连接。Tokyo利用PowerShell，即使入侵已经进入第二阶段，它仍然保留在网络中。第二阶段是Yokohama文件包：一个全副武装的间谍框架。Yokohama包括一个包含所有插件，开源和专有第三方库以及配置文件的虚拟文件系统(VFS)。它总共有近80个模块，其中包括载入器、协调器、命令和控制通信器、录音机、键盘记录器、屏幕和网络摄像头抓取器、文档和加密密匙窃取器等。

TajMahal还能够获取浏览器cookie，收集苹果移动设备的备份名单，窃取受害者烧录的CD数据以及打印机队列中的文档。它还能够请求窃取之前见过的USB存储设备上的特定文件，当该USB设备下一次连接到计算机上时，文件就会被窃取。

遥测显示只有一个受害者，一个来自中亚国家的外交机构。这就引出了一个问题，为什么要为一个受害者而费这么大的劲呢？因此我们认为可能还有其他没发现的受害者。目前还不清楚TajMahal的传播和感染途径。

FruityArmor和SandCat 威胁组织

2月，我们的AEP（漏洞利用自动防御）系统检测到有人试图利用Windows中的一个漏洞——这是我们在前几个月发现的连续第四个被利用的Windows本地提权漏洞。

进一步分析后发现，此漏洞是win32k.sys中的0 day漏洞CVE-2019-0797，Microsoft于3月12日修补了此漏洞。我们认为，包括FruityArmor和SandCat在内的几个APT组织都使用了此漏洞。FruityArmor之前使用0 day，而SandCat是我们不久前发现的APT新成员。值得注意的是，FrutiyArmor和SandCat似乎遵循并行的道路，它们都同时具有相同的漏洞利用能力。这似乎说明还有个第三方团体，为这两个组织提供相应工具。

Cloudmid间谍软件

2019年2月，我们观察到了以前未知的恶意软件Cloudmid在俄罗斯南部进行高针对性攻击。该间谍程序通过电子邮件传播，并伪装成俄罗斯知名安全公司的VPN客户端。到目前为止，我们还无法将此活动与任何已知APT组织联系起来。恶意软件本身就是一个简单的文档窃取器，但考虑到它的受害者性和攻击的针对性，即使我们无法将这组活动归因于任何已知的团伙，也认为它应被监视。该操作涉及的OPSEC较低且恶意软件简单，似乎意味着威胁团伙并不高级。

针对印度军事组织的攻击行动

2月，我们确定了一个针对印度军事组织的运动，且无法将其归因于任何已知的威胁团体。攻击者依靠水坑和鱼叉式网络钓鱼感染受害者。具体来说是利用托管分发Netwire RAT变体恶意文档的网站，进而破坏陆战研究中心（CLAWS）的网站。

DADJOKE恶意软件

在第三季度中，我们观察到DADJOKE恶意软件的活动痕迹。该恶意软件于2019年1月首次在野使用，随后进行持续开发。自一月份以来，我们仅在少数活动中使用过这种恶意软件，这些恶意软件均针对东南亚地区的政府，军事和外交实体。八月份进行的最新活动似乎只针对少数为某军事组织工作的人。

隐私问题

1月17日，安全研究员Troy Hunt报告称，有超过7.73亿封电子邮件和2100万个唯一密码记录被泄露。这部分数据被称为Collection #1，在云服务MEGA上共享。Collection #1只是泄露数据的一部分，剩余还有6个部分，在数据交易论坛售卖，总共数据量大约占到了1 TB，包括22亿个被盗的帐户记录。

2月，16家被黑客入侵公司的6.17亿个帐户的详细信息在Dream Market上出售，可通过Tor网络访问。被黑客入侵的公司首先包括Dubsmash，MyFitnessPal，Armor Games和CoffeeMeetsBagel，随后另外八家被黑客入侵公司的数据也被发布。随后在3月，黑客又发布了另外6家公司的失窃数据。

被盗的凭证，以及从数据泄露中获取的其他个人信息，不仅对网络罪犯有价值，对目标攻击者也有价值，包括那些希望跟踪世界各地异见人士和活动人士的人。

我们已经习惯了源源不断的关于电子邮件地址和密码泄露的新闻报道。盗窃这种“传统的”身份验证形式已经够糟糕的了，但是使用其他身份验证方法的后果可能要严重得多。今年8月，两名以色列研究人员在一个可公开访问的数据库中发现了来自Suprema Biostar 2生物特征识别控制系统的指纹、面部识别数据和其他个人信息。生物特征数据的暴露尤其令人关注。密码泄露是可以改变的，但生物特征是终生的。

此外，智能设备在我们生活中的广泛使用为攻击者打开了更大的数据池，这些信息对威胁行为者都非常有价值。

最后

卡巴斯基将持续跟踪所能发现的APT活动，如果您想了解更多信息，请通过intelreports@kasperksy.com与我们联系。