卡巴斯基：2021 Q2 IT威胁演变报告

有针对性的攻击

Cycldek 相关威胁攻击者

攻击者之间共享工具和方法是很常见的：一个这样的例子是臭名昭著的“DLL 侧加载三元组”：一个合法的可执行文件，一个 由它侧加载的恶意 DLL 和一个编码的有效负载，通常从自解压档案中删除。这最初被认为是LuckyMouse的签名，但我们观察到其他组使用类似的“三合会”，包括 HoneyMyte。虽然仅基于这种技术不可能对攻击进行归因，但对此类三元组的有效检测揭示了越来越多的恶意活动。

我们最近描述了一个名为“FoundCore”的文件，它引起了我们的注意，因为它进行各种改进。我们发现该恶意软件是针对越南一家知名组织的攻击的一部分。从高层的角度来看，感染链遵循预期的执行流程：

然而，在这种情况下，shellcode 被严重混淆——技术细节在“ Cycldek 相关威胁参与者的飞跃”报告中提出。我们发现这个文件的加载器非常有趣，因此我们决定将我们的目标恶意软件逆向工程课程的轨道之一建立在它的基础上。

最终的有效载荷是一个远程管理工具，它向其操作员提供对受害机器的完全控制。与服务器的通信可以通过使用 RC4 加密的原始 TCP 套接字进行，也可以通过 HTTPS 进行。

在我们发现的绝大多数事件中，在执行 FoundCore 之前，都会打开从 static.phongay[.]com 下载的恶意 RTF 文档——所有这些都是使用RoyalRoad生成的，  并试图利用 CVE-2018-0802。所有这些文件都是空白的，表明存在触发下载 RTF 文件的前驱文件——可能通过鱼叉式网络钓鱼或以前的感染方式传递。成功利用会导致部署更多恶意软件——名为 DropPhone 和 CoreLoader。

我们的遥测表明，数十个组织受到影响，属于政府或军事部门，或与健康、外交、教育或政治垂直领域有关。80% 的目标在越南，尽管我们也发现了中亚和泰国的偶尔目标。

虽然 Cycldek 迄今为止被认为是最不成熟的威胁行为者之一，但它的目标与我们在这次活动中观察到的一致——这就是为什么我们将这次活动归咎于这个威胁行为者，信心不足。

在野外使用的桌面窗口管理器中的0 day漏洞

在分析CVE-2021-1732漏洞利用（由 DBAPPSecurity 威胁情报中心首次发现并由 BITTER APT 组织使用）时，我们发现了另一个0 day漏洞利用，我们认为该漏洞与同一威胁参与者有关。我们在 2 月份向 Microsoft 报告了这一新漏洞，在确认它确实是0 day漏洞后，微软发布了新0 day漏洞 (CVE-2021-28310) 的补丁，作为其 4 月安全更新的一部分。

CVE-2021-28310 是 dwmcore.dll 中的一个越界 (OOB) 写入漏洞，它是桌面窗口管理器 (dwm.exe) 的一部分。由于缺乏边界检查，攻击者能够创建一种情况，允许他们使用 DirectComposition API 在受控偏移处写入受控数据。 DirectComposition 是 Windows 8 中引入的一个 Windows 组件，用于启用具有变换、效果和动画的位图合成，并支持不同来源的位图（GDI、DirectX 等）。

该漏洞最初是通过我们先进的漏洞防御技术和相关检测记录来识别的。在过去的几年里，我们已经在我们的产品中构建了大量的漏洞利用保护技术，这些技术已经检测到了多个0 day漏洞，并一次又一次地证明了它们的有效性。

我们认为这个漏洞被广泛使用，可能被多个威胁参与者使用，并且它可能与其他浏览器漏洞一起使用以逃避沙箱或获取系统权限以进行进一步访问。

TunnelSnake行动

Windows rootkit，尤其是那些在内核空间中运行的，在系统中享有很高的特权，允许它们拦截并可能篡改底层操作系统进行的核心 I/O 操作，例如读取或写入文件或处理传入和传出的网络数据包。它们融入操作系统本身结构的能力是 rootkit 因隐匿和逃避而声名狼藉的原因。

然而，多年来，在 Windows 中部署和执行 rootkit 组件变得越来越困难。微软推出的驱动签名强制和内核补丁保护（PatchGuard）使得系统更难被篡改。结果，Windows Rootkit 的数量急剧下降：大多数仍然活跃的 rootkit 经常被用于高调的 APT 攻击。

在去年的一项调查中，我们注意到了一个这样的例子，我们在其中发现了一种以前不为人知的隐秘植入物，该植入物被植入亚洲和非洲的区域政府间组织网络。这个被我们称为“Moriya”的 rootkit 被用来在面向公众的服务器上部署被动后门，促进创建隐蔽的 C2（命令和控制）通信通道，通过该通道可以对它们进行静默控制。

该工具被用作我们命名为“ TunnelSnake ”的正在进行的活动的一部分。早在 2019 年 11 月就在目标机器上检测到了 rootkit；我们发现的另一个工具显示了与 rootkit 的大量代码重叠，这表明开发人员至少自 2018 年以来一直很活跃。

由于在活动期间附带的 rootkit 和其他横向移动工具都不依赖硬编码的 C2 服务器，因此我们只能获得对攻击者基础设施的部分可见性。然而，除了 Moriya 之外，大部分检测到的工具都包含专有的和知名的恶意软件。

PuzzleMaker

4 月 14 日至 15 日，卡巴斯基技术检测到了一波针对多家公司的高度针对性攻击。更深入的分析显示，所有这些攻击都利用了一系列 Google Chrome 和 Microsoft Windows 0 day漏洞。

虽然我们无法在 Chrome 网络浏览器中检索用于远程代码执行 (RCE) 的漏洞利用，但我们能够找到并分析用于逃离沙箱并获取系统权限的权限升级 (EoP) 漏洞利用。此 EoP 漏洞经过微调，可针对最新和最突出的 Windows 10 版本（17763 – RS5、18362 – 19H1、18363 – 19H2、19041 – 20H1、19042 – 20H2），并利用 Microsoft Windows 中的两个不同漏洞操作系统内核。

4 月 20 日，我们向 Microsoft 报告了这些漏洞，他们将 CVE-2021-31955 分配给 Information Disclosure 漏洞，将 CVE-2021-31956 分配给 EoP 漏洞。作为 6 月补丁星期二的一部分，这两个漏洞都在 6 月 8 日得到了修补。

漏洞利用链尝试通过 dropper 在系统中安装恶意软件。该恶意软件作为系统服务启动并加载有效负载，这是一个“远程外壳”式后门，它依次连接到 C2 以获取命令。

我们无法找到与已知威胁参与者的任何联系或重叠，因此我们暂时将这个活动集群命名为PuzzleMaker。

Andariel 将勒索软件添加到其工具集中

4 月，我们发现了一个可疑的 Word 文档，其中包含一个韩文文件名和诱饵上传到 VirusTotal。该文件包含一个不熟悉的宏，并使用新技术植入下一个有效载荷。我们的遥测揭示了这些攻击中使用的两种感染方法，每个有效载荷都有自己的加载程序，用于在内存中执行。威胁参与者只为选定的受害者提供了最后阶段的有效载荷。

在我们的研究过程中，Malwarebytes 发布了一份报告，其中包含有关同一系列攻击的技术细节，并将其归因于 Lazarus 组织。然而，经过深入分析，我们得出的结论是，这些攻击是 Lazarus 的一个子组织 Andariel 所为，基于此活动中的第二阶段有效负载与该威胁参与者之前的恶意软件之间的代码重叠。

从历史上看，Andariel 主要针对韩国的组织；我们的遥测表明，在这次竞选中也是如此。我们确认了制造业、家庭网络服务、媒体和建筑行业的几名受害者。

我们还发现了与 Andariel 集团的其他联系。每个威胁参与者在攻击后利用阶段与后门 shell 交互工作时都有一个特征习惯。此活动中使用 Windows 命令及其选项的方式与之前的 Andariel 活动几乎相同。

值得注意的是，除了最后的后门之外，我们还发现了一名感染了定制勒索软件的受害者，这是该威胁行为者的经济动机。

Ferocious Kitten

Ferocious Kitten是一个 APT 威胁行为者，它的目标是似乎居住在伊朗的说波斯语的个人。该组织主要在雷达下运作，据我们所知，安全研究人员并未涵盖该组织。最近，当一份诱饵文件上传到 VirusTotal 并在 Twitter 上的研究人员的帮助下公开时，威胁行为者引起了人们的注意 。从那以后， 一家中国威胁情报公司分析了其中一个植入物 。

我们能够扩展有关该组的一些发现，并提供对其使用的其他变体的见解。从诱饵文档中删除的恶意软件被称为“MarkiRAT”，记录击键、剪贴板内容，并提供文件下载和上传功能以及在受害者计算机上执行任意命令的能力。我们能够将植入物追溯到至少 2015 年，以及旨在劫持 Telegram 和 Chrome 应用程序的执行作为持久性方法的变体。

Ferocious Kitten 是在更广泛的生态系统中运作的团体之一，旨在追踪伊朗的个人。此类威胁组并不经常被报道。因此能够重用基础设施和工具集，而不必担心它们被安全解决方案删除或标记。该威胁行为者使用的一些 TTP 让人想起其他积极对抗类似目标的团体，例如家养小猫和猖獗小猫。

其他恶意软件

JSWorm 勒索软件的演变

虽然勒索软件已经存在了很长时间，但随着攻击者改进他们的技术和改进他们的策略，它随着时间的推移而演变。我们已经看到了五年前的随机、投机性攻击，甚至是WannaCry和 NotPetya等大规模爆发的转变。许多勒索软件团伙已转向更有利可图的“大猎杀”策略；勒索软件攻击影响大公司甚至关键基础设施安装的新闻已经司空见惯。此外，现在有一个完善的生态系统支持勒索软件攻击。

结果，尽管勒索软件攻击的数量有所下降，而且个人可能比几年前更不可能遇到勒索软件，但对组织的威胁却比以往任何时候都大。

我们最近发布了对一个名为JSWorm 的此类勒索软件系列的分析 。该恶意软件于 2019 年被发现，从那时起，不同的变种以各种名称而臭名昭著，例如 Nemty、Nefilim、Offwhite 等。

每个“重新命名”的版本都包含对代码不同方面的更改——文件扩展名、加密方案、加密密钥、编程语言和分发模型。自出现以来，JSWorm 已经从典型的大规模勒索软件威胁发展为主要影响个人用户的典型大型猎杀勒索软件威胁，攻击备受瞩目的目标并要求支付巨额赎金。

Black Kingdom勒索软件

Black Kingdom于 2019 年首次出现；2020 年，有人观察到该组织在其攻击中利用了漏洞（例如 CVE-2019-11510）。在最近的活动中，未知对手使用该勒索软件来利用 Microsoft Exchange 漏洞（CVE-2021-27065，又名ProxyLogon）。这个勒索软件系列远不如其他勒索软件即服务(RaaS) 或大型游戏狩猎系列复杂。该组织参与 Microsoft Exchange 攻击活动表明了机会主义，而不是该勒索软件家族活动的复苏。

该恶意软件使用 Python 编码并使用 PyInstaller 编译为可执行文件。该勒索软件支持两种加密模式：一种是动态生成的，另一种是使用硬编码的密钥。代码分析揭示了一个业余的开发周期，以及在硬编码密钥的帮助下恢复使用 Black Kingdom 加密的文件的可能性。在分析时，已经有一个脚本可以恢复使用嵌入式密钥加密的文件。

Black Kingdom 将桌面背景更改为系统在加密文件时被感染的注释，同时禁用鼠标和键盘。

***************************
| We Are Back            ?
***************************
 
We hacked your (( Network )), and now all files, documents, images,
databases and other important data are safely encrypted using the strongest algorithms ever.
You cannot access any of your files or services .
But do not worry. You can restore everthing and get back business very soon ( depends on your actions )
 
before I tell how you can restore your data, you have to know certain things :
 
We have downloaded most of your data ( especially important data ) , and if you don't  contact us within 2 days, your data will be released to the public.
 
To see what happens to those who didn't contact us, just google : (  Blackkingdom Ransomware  )
 
***************************
| What  guarantees        ?
***************************
 
We understand your stress and anxiety. So you have a free opportunity to test our service by instantly decrypting one or two files for free
just send the files you want to decrypt to (support_blackkingdom2@protonmail.com
 
***************************************************
| How to contact us and recover all of your files  ?
***************************************************
 
The only way to recover your files and protect from data leaks, is to purchase a unique private key for you that we only posses .
 
 
[ + ] Instructions:
 
1- Send the decrypt_file.txt file to the following email ===> support_blackkingdom2@protonmail.com
 
2- send the following amount of US dollars ( 10,000 ) worth of bitcoin to this address :
 
[ 1Lf8ZzcEhhRiXpk6YNQFpCJcUisiXb34FT ]
 
3- confirm your payment by sending the transfer url to our email address
 
4- After you submit the payment, the data will be removed from our servers, and the decoder will be given to you,
so that you can recover all your files.
 
## Note ##
 
Dear system administrators, do not think you can handle it on your own. Notify your supervisors as soon as possible.
By hiding the truth and not communicating with us, what happened will be published on social media and yet in news websites.
 
Your ID ==>
FDHJ91CUSzXTquLpqAnP

反编译 Python 代码后，我们发现 Black Kingdom 的代码库起源于GitHub 上的一个开源勒索软件构建器 。该小组修改了部分代码，添加了最初未在构建器中提供的功能，例如硬编码的密钥。我们无法将Black Kingdom归咎于任何已知的威胁组织。

根据我们的遥测数据，我们只能看到 Black Kingdom 在意大利和日本的少数命中。

Gootkit：谨慎的银行木马

Gootkit属于一类极其顽固但并不广泛传播的木马。由于它不是很常见，新版本的特洛伊木马可能会长期处于研究人员的雷达之下。

它是一种复杂的多阶段银行恶意软件，最初由 Doctor Web 于 2014 年发现。最初，它通过垃圾邮件和 Spelevo 和 RIG 等漏洞利用工具包分发。结合垃圾邮件活动，攻击者后来切换到受感染的网站，诱骗访问者下载恶意软件。

Gootkit 能够从浏览器中窃取数据、执行浏览器中的人攻击、键盘记录、截屏以及许多其他恶意操作。木马的加载程序执行各种虚拟机和沙箱检查，并使用复杂的持久性算法。

2019 年，Gootkit 在经历数据泄露后停止运营 ，但  自 2020 年 11 月起再次活跃。大多数受害者位于德国和意大利等欧盟国家。

Bizarro 银行木马扩展到欧洲

Bizarro 是另一种源自巴西的银行木马家族，现在在世界其他地区也有发现。我们已经看到有人在西班牙、葡萄牙、法国和意大利成为攻击目标。该恶意软件已被用于窃取来自不同欧洲和南美国家的 70 家银行客户的凭证。

与Tetrade 一样，Bizarro 使用附属公司或招募钱骡来兑现或仅仅帮助汇款。

Bizarro 通过受害者从垃圾邮件中的链接下载的 MSI 包进行分发。启动后，它会从受感染的网站下载 ZIP 存档。我们观察到木马用于存储档案的 WordPress、Amazon 和 Azure 服务器被黑。后门是 Bizarro 的核心组件，包含 100 多个命令，允许攻击者窃取网上银行账户凭据。大多数命令用于显示虚假的弹出消息并试图诱骗人们输入两因素身份验证代码。木马还可能使用社会工程来说服受害者下载智能手机应用程序。

Bizarro 是来自南美的几个银行木马之一，这些木马已将业务扩展到其他地区——主要是欧洲。他们包括 Guildma、Javali、Melcoz、Grandoreiro 和 Amavaldo。

APKPure 应用程序中的恶意代码

4 月初，我们在 APKPure 应用商店官方客户端 3.17.18 版本中发现了恶意代码，这是一个流行的 Android 应用替代来源。该事件似乎与 CamScanner 发生的情况相似，当时该应用程序的开发人员从未经验证的来源实施了一个广告软件 SDK。

启动时，我们的解决方案检测为 HEUR:Trojan-Dropper.AndroidOS.Triada.ap 的嵌入式特洛伊木马释放器解压并运行其有效负载，该有效负载能够在锁定屏幕上显示广告、打开浏览器选项卡、收集有关设备，并下载其他恶意代码。下载的特洛伊木马取决于 Android 的版本以及最近安装安全更新的时间。对于较新版本的操作系统（Android 8 或更高版本），它会为Triada Trojan加载附加模块。如果设备较旧（Android 6 或 7，并且未安装安全更新），则可能是 xHelper 木马。

我们于 4 月 8 日向 APKPure 报告了该问题。 APKPure 第二天承认了该问题，并在不久之后发布了一个不包含恶意组件的新版本（3.17.19）。

浏览器储物柜

浏览器储物柜旨在防止受害者使用他们的浏览器，除非他们支付赎金。“锁定”包括阻止受害者离开当前选项卡，该选项卡显示令人生畏的消息，通常带有声音和视觉效果。储物柜试图以丢失数据或承担法律责任的威胁来欺骗受害者进行付款。

这种类型的欺诈行为长期以来一直受到研究人员的关注，在过去的十年中，针对全球范围内的人们进行了许多浏览器锁定活动。由骗子使用的伎俩包括模仿臭名昭著的“蓝屏死机在浏览器（BSOD）”，有关系统的错误错误警告或检测到恶意软件，加密文件和法律责任声明威胁。

在我们关于浏览器储物柜的报告中，我们检查了两个模仿政府网站的储物柜系列。

这两个家庭主要通过广告网络传播，主要旨在以侵入性方式销售“成人”内容和电影；例如，当加载带有嵌入式广告模块的页面（弹出窗口）或点击页面上的任意位置（点击下方）时，通过在访问网站顶部打开的选项卡或窗口。

这些威胁在技术上并不复杂：它们只是旨在制造一种已锁定计算机的假象并恐吓受害者付钱。错误地登陆这样的页面不会损害您的设备或损害您的数据，只要您不落入网络犯罪分子的烟雾和镜子策略中。

恶意软件针对 Apple M1 芯片

去年 11 月，苹果推出了 M1 芯片。这款新芯片已在其多款产品中取代了英特尔处理器，它基于 ARM 架构，而不是个人电脑中传统使用的 x86 架构。这为苹果完全切换到自己的处理器并将其软件统一在单一架构下奠定了基础。不幸的是，就在发布几个月后，恶意软件编写者已经将几个恶意软件家族改编为新处理器。

尝试使用 PHP 进行供应链攻击

3 月，未知攻击者试图通过将恶意代码引入 PHP 脚本语言来进行供应链攻击。PHP 的开发人员使用构建在 GIT 版本控制系统上的通用存储库来更改代码。攻击者试图在代码中添加后门。幸运的是，开发人员在例行检查中发现了一些可疑的东西。如果他们不这样做，后门可能允许攻击者在 Web 服务器上远程运行恶意代码，其中大约 80% 的（Web 服务器）使用 PHP。