2021年APT攻击回顾

在卡巴斯基的全球研究和分析团队中，我们跟踪了900多个高级威胁参与者和活动集群正在进行的活动。对于这一年度回顾，我们试图把注意力放在我们认为是过去12个月最有趣的趋势和发展上。这是基于我们在威胁领域的可见性，需要注意的是，没有一家供应商能够完全了解所有威胁参与者的活动。

私营部门供应商在威胁格局中发挥着重要作用

Guardian和其他16家媒体组织七月发布的一份调查报告，可能是2021年度最大的一个故事，这表明全世界有超过30000名企业家、记者和律师可能因使用Pegasus，而成为攻击的目标。这份名为Pegasus Project的报告声称，该软件使用了多种漏洞，包括几个iOS 0 day漏洞。根据对大量移动设备的法医分析，国际特赦组织（Amnesty International）安全实验室发现该软件被反复滥用监视。目标个人名单包括14名世界领导人。该月晚些时候，以色列政府的代表访问了国家统计局的办公室，作为对索赔进行调查的一部分。10月，印度最高法院委托一个技术委员会调查政府是否利用帕伽索斯监视其公民。11月，苹果公司宣布，它正在对NSO集团采取法律行动，因为该集团开发的软件以其用户为目标，带有“恶意恶意软件和间谍软件”。

检测来自Pegasus和其他高级移动恶意软件的感染痕迹非常棘手，而且由于iOS和Android等现代操作系统的安全特性，检测工作变得复杂。根据我们的观察，非持久性恶意软件的部署使这一问题更加复杂，重新启动后几乎没有留下任何痕迹。由于许多取证框架需要设备越狱，这会导致在重新启动期间从内存中删除恶意软件。目前，有几种方法可用于检测Pegasus和其他移动恶意软件。来自国际特赦组织的MVT（移动验证工具包）是免费的、开源的，允许技术专家和调查人员检查手机是否有感染迹象。国际特赦组织从备受关注的案件中收集并提供了一份IOC（折衷指标）清单，这进一步促进了MVT的发展。

供应链攻击

在过去12个月中，发生了多起引人注目的供应链攻击事件。去年12月，据报道，著名的it管理服务提供商SolarWinds成为一次复杂的供应链攻击的受害者。该公司的Orion IT，一个监控和管理客户IT基础设施的解决方案，遭到了破坏。这导致在北美、欧洲、中东和亚洲超过18000名SolarWinds客户的网络上部署了名为Sunburst的定制后门，其中包括许多大型公司和政府机构。

并非所有的供应链攻击都如此复杂。今年早些时候，我们跟踪的一个APT集团（作为赏金公司）入侵了蒙古的一个证书颁发机构，并用恶意下载程序替换了数字证书管理客户端软件。相关基础设施被识别并用于多个其他事件：这包括在香港上对WebSphere和WebLogic服务的服务器端攻击，以及客户端上的特洛伊化Flash播放器安装程序。

在调查亚洲政府认证机构网站上的供应链攻击文物时，我们发现了一个可追溯到2020年6月的特洛伊木马程序包。解开这一线索，我们发现了许多以插件形式出现的后妥协工具，这些插件是使用PhantomNet恶意软件部署的，而这些插件又是使用上述特洛伊木马程序包交付的。我们对这些插件的分析揭示了它们与之前分析的咳嗽恶意软件的相似之处。

2021年4月，代码覆盖解决方案提供商CODCOFF公开披露其BASH上传脚本已被破坏，并在1月31日至4月1日分发给用户。Bash Uploader脚本由Codecov公开发布，旨在收集有关用户执行环境的信息，收集代码覆盖率报告，并将结果发送到Codecov基础设施。这种脚本妥协实际上构成了供应链攻击。

今年早些时候，我们发现Lazarus集团的活动使用了更新的死亡笔记集群。我们的调查显示，有迹象表明拉扎勒斯正在建立供应链攻击能力。在一个案例中，我们发现感染链源于合法的韩国安全软件执行恶意负载；在第二个案例中，目标是一家开发资产监控解决方案的公司，这是Lazarus的典型受害者。作为感染链的一部分，Lazarus使用了名为Racket的下载程序，他们用偷来的证书签署了该下载程序。参与者破坏了易受攻击的web服务器，并上传了几个脚本，以过滤和控制成功入侵的受害者机器上的恶意植入。

在东亚的一个国家，一个先前未知的APT修改了分发服务器上的指纹扫描软件安装程序包。APT修改了一个配置文件并添加了一个带有。NET版本的PlugX注入器安装程序包。该国中央政府的员工需要使用此生物识别软件包来跟踪出勤情况。我们将这起供应链事件和这个特殊的PlugX变体称为SmudgeX。安装特洛伊木马的安装程序似乎是从3月到6月在分发服务器上安装的。

利用漏洞

3月2日，微软报道了一个名为HAFNIUM的新APT参与者，利用Exchange Server中的四个0 day进行了他们所谓的“有限和有针对性的攻击”。当时，微软声称，除了HAFNIUM之外，还有其他几个行为者也在利用它们。与此同时，ValeStices也报告了相同的交换0 day在2021年初使用。根据Volexity的遥测技术，除了微软指定的HAFNIUM之外，一些正在使用的漏洞在多个参与者之间共享。Kaspersky遥测显示，在微软公开披露和修补这些漏洞后，针对这些漏洞的攻击尝试激增。在3月的第一周，我们确定了大约1400个被锁定的独特服务器，其中一个或多个漏洞被用于获得初始访问。根据我们的遥测数据，大多数攻击都是针对欧洲和美国的服务器进行的。一些服务器多次被不同的威胁参与者（基于命令执行模式）锁定，这表明多个组都可以利用这些漏洞。

我们还发现，自3月中旬以来，针对欧洲和亚洲的政府实体开展了一项活动，使用相同的Exchange 0 day漏洞攻击。这场运动利用了一个我们称之为FourteenHi的以前未知的恶意软件家族。进一步调查显示，该恶意软件变种的活动痕迹可追溯到一年前。我们还发现，在同一时间段内，在基础设施和TTP以及ShadowPad恶意软件的使用方面，这些活动与HAFNIUM存在一些重叠。

1月25日，谷歌威胁分析小组（TAG）宣布，一个由国家赞助的威胁参与者已经瞄准了安全研究人员。根据Google TAG的博客，这位演员使用了高度复杂的社会工程，通过社交媒体与安全研究人员联系，并提交了一份受损的Visual Studio项目文件，或诱使他们访问他们的博客，在那里Chrome漏洞正等着他们。3月31日，谷歌标签发布了这项活动的最新消息，显示了另一波虚假社交媒体档案以及这位演员在3月中旬创办的一家公司。我们确认博客上的几个基础设施与我们之前发布的关于Lazarus group ThreatNeedle集群的报告重叠。此外，谷歌提到的恶意软件与ThreatNeedle相匹配，ThreatNeedle是我们自2018年以来一直追踪的恶意软件。在调查相关信息时，一名外部研究员证实，他也受到了这次攻击的影响，并分享了供我们调查的信息。在解密受损主机的配置数据后，我们发现了其他C2服务器。在我们调查期间，服务器仍在使用中，我们能够获得与攻击有关的其他数据。我们评估，公布的基础设施不仅用于针对安全研究人员，还用于其他Lazarus攻击。在我们的研究中，我们发现有相当多的主机与C2s进行通信。

通过扩展我们对CVE-2021-1732攻击的研究（最初由DBAPPSecurity Threat Intelligence Center发现并由Pitter APT集团使用），我们发现了另一种可能在亚太地区使用的0 day攻击。进一步的分析表明，这种特权升级（EoP）利用至少从2020年11月起就有可能在野外使用。我们在二月份向微软报告了这个新的漏洞。在确认我们确实在处理一个新的0 day之后，它被命名为CVE-2021-28310。开发过程中留下的各种痕迹和文物意味着我们非常有信心CVE-2021-1732和CVE-2021-28310是由我们跟踪的同一开发开发者Moses创建的。Moses似乎是一个利用漏洞的开发者，他根据过去的其他利用漏洞和观察到的使用这些漏洞的行为人，将漏洞提供给几个威胁行为人。到目前为止，我们已经确认至少有两个已知的威胁行为人利用了Moses最初开发的漏洞：Pitter APT和Dark Hotel。基于类似的标记和文物，以及从第三方私下获得的信息，我们认为过去两年在野外观察到的至少六个漏洞来自Moses。虽然EoP漏洞是在野外发现的，但我们无法直接将其使用与我们目前跟踪的任何已知威胁因素联系起来。EoP漏洞可能与其他浏览器漏洞链接在一起，以逃避沙盒并获得系统级权限进行进一步访问。不幸的是，我们无法捕获完整的漏洞链，因此我们不知道该漏洞是与另一个浏览器0 day一起使用，还是与利用已知修补漏洞的漏洞结合使用。

4月14日至15日，卡巴斯基技术公司检测到针对多家公司的高针对性攻击浪潮。更仔细的分析显示，所有这些攻击都利用了一系列谷歌浏览器和微软Windows 0 day攻击。虽然我们无法在Chrome web浏览器中检索用于远程代码执行（RCE）的漏洞，但我们能够找到并分析用于逃离沙箱并获得系统权限的EoP漏洞。对EoP漏洞进行了微调，以针对最新和最突出的Windows 10版本（17763-RS5、18362-19H1、18363-19H2、19041-20H1、19042-20H2），并利用Microsoft Windows操作系统内核中的两个不同漏洞进行攻击。我们向Microsoft报告了这些漏洞，他们将CVE-2021-31955指定为信息披露漏洞，将CVE-2021-31956指定为EoP漏洞。这两个漏洞在6月8日作为6月补丁的一部分在周二进行了修补。利用链试图通过滴管在系统中安装恶意软件。该恶意软件作为系统服务启动并加载有效负载，即一个远程外壳式后门，该后门依次连接到C2以获取命令。因为我们找不到与已知参与者的任何连接或重叠，所以我们将此活动集群命名为PuzzleMaker。

最后，在今年晚些时候，我们检测到一系列使用提升权限漏洞攻击的攻击，这些攻击会影响Windows操作系统的服务器变体。仔细分析后发现，这是Win32k中的一个释放后零天使用漏洞。我们向微软报告的系统，因此被固定为CVE-2021-40449。我们分析了相关的恶意软件，称为相关集群MysterySnail，并发现了将其与IronHusky APT链接的基础设施重叠。

固件漏洞

9月份，我们提供了FinSpy PC移植的概述，不仅涵盖了Windows版本，还涵盖了Linux和macOS版本。FinSpy是一个臭名昭著的商业监视工具集，用于“合法监视”目的。从历史上看，一些非政府组织一再报告说，它被用来对付记者、持不同政见者和人权活动家。从历史上看，它的Windows植入是由一个单阶段间谍软件安装程序代表的；截至2018年，该版本已被多次检测和研究。从那时起，我们观察到FinSpy for Windows的检测率在下降。虽然这种异常的性质仍然未知，但我们开始检测到一些可疑的安装程序包，这些安装程序包背后有Metasploit stager。直到2019年年中，我们在FinSpy Android手机植入物中找到了一台主机，为这些安装者提供服务，我们才将这些软件包归于任何威胁参与者。在我们的调查过程中，我们发现后门安装程序只不过是第一阶段的植入物，用于在实际的FinSpy特洛伊木马之前下载和部署进一步的有效负载。除了特洛伊木马安装程序外，我们还观察到涉及使用UEFI或MBR引导套件的感染。虽然MBR感染至少在2014年就已被发现，但我们的报告首次公开披露了UEFI引导套件的详细信息。

在第三季度的末尾，我们发现了一个先前未知的具有先进能力的有效负载，使用两个感染链递送到中东的各个政府组织和电信公司。有效负载利用Windows内核模式rootkit来促进其某些活动，并且能够通过MBR或UEFI引导工具包进行持久部署。有趣的是，在这次攻击中观察到的一些组件以前曾多次由Slingshot代理在内存中部署，因此Slingshot是一个开发后框架，我们在过去的几个案例中介绍过（不要与Slingshot APT混淆）。它主要是一个专有的商业渗透测试工具包，正式为红队项目设计。然而，这并不是攻击者第一次利用它。我们先前报道的2019个覆盖水果装甲的活动表明，威胁组使用框架来瞄准中东多个行业的组织，可能是利用信使应用中未知的漏洞作为感染媒介。在最近的一份私人情报报告中，我们提供了对新发现的恶意工具包的深入分析，我们与Slingshot一起观察到了该工具包，以及它是如何在野外集群活动中被利用的。最值得注意的是，我们概述了一些在恶意软件中显而易见的先进特性，以及它在针对中东高调外交目标的特定长期活动中的应用。