卡巴斯基2021年发现的高级可持续威胁攻击

在卡巴斯基的全球研究和分析团队中，我们跟踪 900 多个高级威胁参与者和活动集群的持续活动；在本年度回顾中，我们试图关注过去 12 个月中我们认为最有趣的趋势和发展。这是基于我们在威胁环境中的可见性，重要的是要注意没有一个供应商可以完全了解所有威胁参与者的活动。

《卫报》和其他 16 家媒体组织于 7 月发布的一项调查，该调查表明，全球 30,000 多名人权活动家、记者和律师可能已成为使用 Pegasus 的目标。这份名为Pegasus Project的报告称，该软件使用了多种漏洞，包括多个 iOS 零点击0 day漏洞。根据对众多移动设备的取证分析，国际特赦组织的安全实验室发现该软件被反复以滥用方式用于监视。目标个人名单包括 14 位世界领导人。当月晚些时候，以色列政府代表访问了国家统计局办公室作为对索赔进行调查的一部分。10 月，印度最高法院委托一个技术委员会调查政府是否曾利用 Pegasus 监视其公民。去年 11 月，Apple 宣布将对 NSO Group 采取法律行动，因为 NSO Group开发了针对其用户的“恶意恶意软件和间谍软件”软件。

检测 Pegasus 和其他高级移动恶意软件的感染痕迹非常棘手，并且由于 iOS 和 Android 等现代操作系统的安全功能而变得复杂。根据我们的观察，非持久性恶意软件的部署使情况更加复杂，重新启动后几乎没有留下任何痕迹。由于许多取证框架需要设备越狱，这会导致恶意软件在重新启动期间从内存中删除。目前，有几种方法可用于检测 Pegasus 和其他移动恶意软件。MVT（移动验证工具包) 来自国际特赦组织是免费的、开源的，允许技术人员和调查人员检查手机是否有感染迹象。国际特赦组织从备受瞩目的案例中收集并提供了一份 IoC（妥协指标）列表，进一步推动了 MVT。

供应链攻击

在过去的 12 个月中，发生了许多备受瞩目的供应链攻击。去年 12 月，据报道，著名的 IT 管理服务提供商 SolarWinds 已成为复杂供应链攻击的受害者。该公司的 Orion IT 是一种用于监控和管理客户 IT 基础架构的解决方案，它受到了攻击。这导致在北美、欧洲、中东和亚洲的 18,000 多家 SolarWinds 客户（包括许多大公司和政府机构）的网络上部署了一个名为 Sunburst 的自定义后门。

并不是所有的供应链攻击都那么复杂。今年年初，我们追踪为 BountyGlad 的 APT 组织入侵了蒙古的一家证书颁发机构，并用恶意下载程序替换了数字证书管理客户端软件。相关基础设施已被识别并用于其他多个事件：这包括对香港 WebSphere 和 WebLogic 服务的服务器端攻击，以及客户端的木马 Flash Player 安装程序。

在调查亚洲政府认证机构网站上的供应链攻击的人工制品时，我们发现了一个可追溯到 2020 年 6 月的特洛伊木马程序包。解开该线程后，我们发现了一些以插件形式存在的入侵后工具。使用 PhantomNet 恶意软件进行部署，而这些恶意软件又使用上述特洛伊木马程序包交付。我们对这些插件的分析揭示了与之前分析的 CoughingDown 恶意软件的相似之处。

2021 年 4 月，代码覆盖解决方案提供商 Codecov 公开披露其 Bash Uploader 脚本已被入侵，并在 1 月 31 日至 4 月 1 日期间分发给用户。Bash Uploader 脚本由 Codecov 公开分发，旨在收集有关用户的执行环境，收集代码覆盖率报告并将结果发送到 Codecov 基础设施。这种脚本妥协有效地构成了供应链攻击。

今年早些时候，我们使用更新的 DeathNote 集群发现了Lazarus 团体活动。我们的调查显示，有迹象表明 Lazarus 正在建立供应链攻击能力。在一个案例中，我们发现感染链源自执行恶意负载的合法韩国安全软件；在第二种情况下，目标是一家开发资产监控解决方案的公司，这是 Lazarus 的非典型受害者。作为感染链的一部分，Lazarus 使用了一个名为 Racket 的下载器，他们使用被盗的证书对其进行了签名。攻击者入侵了易受攻击的 Web 服务器并上传了几个脚本来过滤和控制成功入侵的受害者机器上的恶意植入程序。

一个以前不为人知、疑似讲中文的 APT 修改了东亚某国分发服务器上的指纹扫描仪软件安装程序包。APT 修改了一个配置文件，并在安装程序包中添加了一个带有 .NET 版本的 PlugX 注入器的 DLL。该国中央政府的雇员必须使用此生物识别包来跟踪出勤率。我们将这个供应链事件和这个特定的 PlugX 变体称为 SmudgeX。Trojanized 安装程序似乎已从 3 月到 6 月在分发服务器上上演。

利用漏洞

3 月 2 日，微软报告了一个名为 HAFNIUM 的新 APT 攻击者，利用 Exchange Server 中的四个0 day漏洞进行他们所谓的“有限和有针对性的攻击”。当时，微软声称，除了 HAFNIUM 之外，还有其他几个参与者也在利用它们。与此同时，Volexity 还报告说，在 2021 年初使用了相同的 Exchange 0 day漏洞。根据 Volexity 的遥测数据，除了微软指定为 HAFNIUM 的漏洞之外，一些正在使用的漏洞被多个参与者共享。卡巴斯基遥测显示，在微软公开披露和补丁后，针对这些漏洞的利用尝试激增。在 3 月的第一周，我们确定了大约 1,400 台被攻击的唯一服务器，其中一个或多个漏洞被用于获取初始访问权限。根据我们的遥测数据，大多数利用尝试都是针对欧洲和美国的服务器。一些服务器被看似不同的威胁参与者多次攻击（基于命令执行模式），这表明这些漏洞已被多个组织使用。

我们还发现，自 3 月中旬以来，一场针对欧洲和亚洲政府实体的活动一直在使用相同的 Exchange 0 day漏洞攻击。该活动利用了一个以前未知的恶意软件系列，我们称之为 FourteenHi。进一步的调查显示了涉及这种恶意软件变种的活动痕迹，该恶意软件的变种可追溯到一年前。我们还发现这些活动与 HAFNIUM 在基础设施和 TTP 以及在同一时间范围内使用 ShadowPad 恶意软件方面存在一些重叠。

1 月 25 日，谷歌威胁分析小组 (TAG) 宣布，一个国家支持的威胁行为者已针对安全研究人员。根据 Google TAG 的博客，该攻击者使用了高度复杂的社会工程学，通过社交媒体与安全研究人员联系，并提供了一个受损的 Visual Studio 项目文件或将他们引诱到他们的博客，Chrome 漏洞的秘密。3 月 31 日，Google TAG 发布了有关此活动的更新，显示另一波虚假社交媒体资料以及该演员在 3 月中旬成立的公司。我们确认博客上的几个基础设施与我们之前发布的重叠报告 Lazarus 集团的 ThreatNeedle 集群。此外，谷歌提到的恶意软件与我们自 2018 年以来一直在跟踪的恶意软件 ThreatNeedle 相匹配。在调查相关信息时，一位外部研究人员证实他也受到了这次攻击的影响，并分享了信息供我们调查。在解密来自受感染主机的配置数据后，我们发现了额外的 C2 服务器。在我们调查期间，这些服务器仍在使用中，我们能够获得与攻击相关的其他数据。我们评估已发布的基础设施不仅用于攻击安全研究人员，还用于其他 Lazarus 攻击。在我们研究的时候，我们发现有相当多的主机与 C2 进行通信。

扩展我们对针对 CVE-2021-1732 的漏洞利用的研究，该漏洞最初由 DBAPPSecurity 威胁情报中心发现并由 Bitter APT 组织使用，我们发现了另一个可能用于亚太 (APAC) 地区的0 day漏洞利用。进一步的分析表明，至少从 2020 年 11 月开始，这种特权升级 (EoP) 漏洞就可能被广泛使用。我们在 2 月份向微软报告了这一新漏洞。在确认我们确实在处理一个新的0 day后，它收到了 CVE-2021-28310 的名称。漏洞利用中留下的各种标记和伪影意味着我们非常有信心 CVE-2021-1732 和 CVE-2021-28310 是由我们跟踪为 Moses 的同一漏洞利用开发者创建的。摩西似乎是一个漏洞利用开发者，他向几个威胁参与者提供漏洞利用，基于其他过去的利用和观察到的使用它们的演员。迄今为止，我们已经确认至少有两个已知的威胁行为者利用了最初由 Moses 开发的漏洞：Bitter APT 和 Dark Hotel。基于类似的标记和人工制品，以及从第三方私下获得的信息，我们认为过去两年在野外观察到的至少六个漏洞源自摩西。虽然 EoP 漏洞是在野外发现的，但我们无法直接将其使用与我们当前跟踪的任何已知威胁参与者联系起来。EoP 漏洞可能与其他浏览器漏洞链接在一起，以逃避沙箱并获得系统级权限以进行进一步访问。不幸的是，我们无法捕获完整的漏洞利用链，因此我们不知道该漏洞利用是否与另一个浏览器0 day漏洞一起使用，

4 月 14 日至 15 日，卡巴斯基技术检测到了一波针对多家公司的高度针对性攻击。更深入的分析显示，所有这些攻击都利用了一系列 Google Chrome 和 Microsoft Windows 0 day漏洞。虽然我们无法在 Chrome Web 浏览器中检索用于远程代码执行 (RCE) 的漏洞利用，但我们能够找到并分析用于逃离沙箱并获取系统权限的 EoP 漏洞利用。EoP 漏洞利用经过微调，可针对最新和最突出的 Windows 10 版本（17763 – RS5、18362 – 19H1、18363 – 19H2、19041 – 20H1、19042 – 20H2）并利用 Microsoft Windows 操作系统中的两个不同漏洞核心。我们向 Microsoft 报告了这些漏洞，他们将 CVE-2021-31955 分配给信息披露漏洞，将 CVE-2021-31956 分配给 EoP 漏洞。这两个漏洞都在 6 月 8 日作为 6 月补丁星期二的一部分进行了修补。漏洞利用链尝试通过 dropper 在系统中安装恶意软件。该恶意软件作为系统服务启动并加载有效负载，这是一个远程 shell 风格的后门，反过来连接到 C2 以获取命令。因为我们找不到与已知参与者的任何联系或重叠，我们将这个活动集群命名为 PuzzleMaker。一个远程 shell 风格的后门，它反过来连接到 C2 以获取命令。因为我们找不到与已知参与者的任何联系或重叠，我们将这个活动集群命名为 PuzzleMaker。一个远程 shell 风格的后门，它反过来连接到 C2 以获取命令。因为我们找不到与已知参与者的任何联系或重叠，我们将这个活动集群命名为 PuzzleMaker。

最后，在今年年底，我们检测到了一波使用特权提升漏洞的攻击，这些攻击影响了 Windows 操作系统的服务器变体。经过仔细分析，我们发现它是 Win32k.sys 中的一个 0day use-after-free 漏洞，我们向 Microsoft 报告了该漏洞，因此被修复为 CVE-2021-40449。我们分析了关联的恶意软件，称为关联集群 MysterySnail，发现将其链接到 IronHusky APT 的基础设施重叠。

固件漏洞

9 月，我们提供了概述FinSpy PC 植入程序，不仅涵盖 Windows 版本，还包括 Linux 和 macOS 版本。FinSpy 是一个臭名昭著的商业监视工具集，用于“法律监视”目的。从历史上看，一些非政府组织一再报告说它被用来对付记者、持不同政见者和人权活动家。从历史上看，它的 Windows 植入物以单阶段间谍软件安装程序为代表。并且这个版本在 2018 年之前被检测和研究了几次。从那时起，我们观察到 FinSpy for Windows 的检测率正在下降。虽然这种异常的性质仍然未知，但我们开始检测到一些带有 Metasploit stagers 后门的可疑安装程序包。直到 2019 年年中，当我们在 Android 的 FinSpy Mobile 植入物中找到了为这些安装程序提供服务的主机时，我们才能将这些软件包归咎于任何威胁行为者。在我们的调查过程中，我们发现后门安装程序只不过是用于在实际 FinSpy 木马之前下载和部署更多有效负载的第一阶段植入程序。除了特洛伊木马安装程序，我们还观察到涉及使用 UEFI 或 MBR bootkit 的感染。虽然 MBR 感染至少从 2014 年就已为人所知，但 UEFI bootkit 的详细信息在我们的报告中首次公开披露。我们发现，后门安装程序只不过是用于在实际 FinSpy 木马之前下载和部署更多有效载荷的第一阶段植入程序。除了特洛伊木马安装程序，我们还观察到涉及使用 UEFI 或 MBR bootkit 的感染。虽然 MBR 感染至少从 2014 年就已为人所知，但 UEFI bootkit 的详细信息在我们的报告中首次公开披露。我们发现，后门安装程序只不过是用于在实际 FinSpy 木马之前下载和部署更多有效载荷的第一阶段植入程序。除了特洛伊木马安装程序，我们还观察到涉及使用 UEFI 或 MBR bootkit 的感染。虽然 MBR 感染至少从 2014 年就已为人所知，但 UEFI bootkit 的详细信息在我们的报告中首次公开披露。

在第三季度末，我们发现了一个以前未知的具有高级功能的有效载荷，使用两个感染链交付给中东的各种政府组织和电信公司。该有效负载利用 Windows 内核模式 rootkit 来促进其某些活动，并且能够通过 MBR 或 UEFI 引导包进行持久部署。有趣的是，在这次攻击中观察到的一些组件以前曾多次由 Slingshot 代理在内存中上演，因此 Slingshot 是我们过去在几个案例中介绍过的后利用框架（不要与 Slingshot APT 混淆）。它主要以官方为红队参与设计的专有商业渗透测试工具包而闻名。然而，这不是攻击者第一次利用它。我们之前在 2019 年关于 FruityArmor 活动的一份报告显示，该威胁组织使用该框架针对中东多个行业的组织，可能是利用信使应用程序中的未知漏洞作为感染媒介。在最近的一份私人情报报告中，我们对与 Slingshot 一起观察到的新发现的恶意工具包进行了深入分析，以及它是如何在野外活动集群中被利用的。最值得注意的是，我们概述了恶意软件中明显的一些高级功能，以及它在针对中东高调外交目标的特定长期活动中的使用。我们之前在 2019 年关于 FruityArmor 活动的一份报告显示，该威胁组织使用该框架针对中东多个行业的组织，可能是利用信使应用程序中的未知漏洞作为感染媒介。在最近的一份私人情报报告中，我们对与 Slingshot 一起观察到的新发现的恶意工具包进行了深入分析，以及它是如何在野外活动集群中被利用的。最值得注意的是，我们概述了恶意软件中明显的一些高级功能，以及它在针对中东高调外交目标的特定长期活动中的使用。我们之前在 2019 年关于 FruityArmor 活动的一份报告显示，该威胁组织使用该框架针对中东多个行业的组织，可能是利用信使应用程序中的未知漏洞作为感染媒介。在最近的一份私人情报报告中，我们对与 Slingshot 一起观察到的新发现的恶意工具包进行了深入分析，以及它是如何在野外活动集群中被利用的。最值得注意的是，我们概述了恶意软件中明显的一些高级功能，以及它在针对中东高调外交目标的特定长期活动中的使用。可能通过利用信使应用程序中的未知漏洞作为感染媒介。在最近的一份私人情报报告中，我们对与 Slingshot 一起观察到的新发现的恶意工具包进行了深入分析，以及它是如何在野外活动集群中被利用的。最值得注意的是，我们概述了恶意软件中明显的一些高级功能，以及它在针对中东高调外交目标的特定长期活动中的使用。可能通过利用信使应用程序中的未知漏洞作为感染媒介。在最近的一份私人情报报告中，我们对与 Slingshot 一起观察到的新发现的恶意工具包进行了深入分析，以及它是如何在野外活动集群中被利用的。最值得注意的是，我们概述了恶意软件中明显的一些高级功能，以及它在针对中东高调外交目标的特定长期活动中的使用。