1.TajMahal
早在2018年底����,卡巴斯基的研究人員就發(fā)現(xiàn)了一個(gè)復(fù)雜的間諜框架�,他們稱之為“TajMahal”����。它由兩個(gè)不同的軟件包組成��,分別稱為“Tokyo”和“Yokohama”���,它們能夠竊取各種數(shù)據(jù),包括從受害者設(shè)備上盜竊的CD數(shù)據(jù)和發(fā)送到打印機(jī)隊(duì)列的文件���。每個(gè)軟件包都包含許多惡意工具:后門�、鍵盤記錄器��、下載器���、編排器���、屏幕和網(wǎng)絡(luò)攝像頭抓取器、音頻記錄器等����。總共發(fā)現(xiàn)了多達(dá)80個(gè)惡意模塊�。
在第一次發(fā)現(xiàn)它之前,TajMahal項(xiàng)目已經(jīng)活躍了至少5年����。更為神秘的是,它唯一已知的受害者是一個(gè)知名的外交對象��。誰是這次襲擊的幕后主使����,是否還有其他受害者,或者整個(gè)工具的開發(fā)是否只是針對一個(gè)特定目標(biāo)���,這些問題仍然沒有答案����。
2. DarkUniverse
DarkUniverse是研究人員在2018年發(fā)現(xiàn)并公布的另一個(gè)APT框架����。從2009年到2017年,它在野外活動(dòng)了至少八年����,針對敘利亞、伊朗���、阿富汗�、坦桑尼亞、埃塞俄比亞��、蘇丹�����、俄羅斯���、白俄羅斯和阿拉伯聯(lián)合酋長國的至少20個(gè)民用和軍事對象���。該惡意軟件通過帶有惡意Microsoft Office文檔附件的釣魚電子郵件傳播。它由幾個(gè)模塊組成�����,負(fù)責(zé)不同的間諜活動(dòng)�,如鍵盤記錄、郵件流量攔截��、截屏����、收集各種系統(tǒng)信息等。
DarkUniverse在野外被發(fā)現(xiàn)的唯一示例是�����,他們復(fù)雜的ItaDuke惡意軟件釋放了一個(gè)名為“Visaform Turkey.pdf”的零日PDF漏洞。DarkUniverse目前尚未被公開公布�,也不清楚2017年之后它發(fā)生了什么��。
3.PuzzleMaker
2021年4月���,研究人員利用復(fù)雜的零日漏洞鏈檢測到幾次有針對性的攻擊��。為了滲透系統(tǒng)�����,攻擊者使用了谷歌Chrome RCE漏洞�。雖然研究人員無法獲取該漏洞的詳細(xì)信息�,但卻非常懷疑存在問題的漏洞是CVE-2021-21224,該漏洞使攻擊者能夠在瀏覽器沙箱內(nèi)執(zhí)行任意代碼����。發(fā)起攻擊后,攻擊者利用Windows內(nèi)核中的信息泄露漏洞CVE-2021-31955獲取EPROCESS結(jié)構(gòu)的內(nèi)核地址��,并利用另一個(gè)Windows內(nèi)核漏洞CVE-2021-31956提升權(quán)限����。
成功利用這些漏洞后���,由四個(gè)模塊組成的自定義惡意軟件將被發(fā)送到受感染的系統(tǒng)。這些模塊是一個(gè)stager���、dropper�����、service和遠(yuǎn)程shell�����,最后一個(gè)是最終的有效負(fù)載�����。研究人員將APT稱為“PuzzleMaker”���。
已知APT活動(dòng)的唯一薄弱環(huán)節(jié)是一種后利用技術(shù),PuzzleMaker和CHAINSHOT惡意軟件都使用了這種技術(shù)����,至少有兩個(gè)國家支持的攻擊者也使用了這種技術(shù)��。然而���,這項(xiàng)技術(shù)是公開的,可以被不同的組織獨(dú)立使用�����。
4. ProjectSauron(又名Strider)
ProjectSauron于2015年9月首次被發(fā)現(xiàn)�,當(dāng)時(shí)卡巴斯基反目標(biāo)攻擊平臺(tái)在一個(gè)客戶組織中檢測到異常的網(wǎng)絡(luò)流量��。該流量來自一個(gè)可疑庫���,該庫被加載到域控制器服務(wù)器的內(nèi)存中���,并注冊為Windows密碼過濾器,該過濾器可以訪問管理帳戶的純文本密碼����。事實(shí)證明,它是針對俄羅斯���、伊朗����、盧旺達(dá),可能還有意大利語國家的政府���、電信�����、科學(xué)����、軍事和金融組織的復(fù)雜APT平臺(tái)的一部分��。
ProjectSauron的名字來源于其配置中提到的“Sauron”
ProjectSauron平臺(tái)采用模塊化結(jié)構(gòu)�����。它會(huì)針對每個(gè)受害者各自定義一個(gè)核心植入程序��,它們具有不同的文件名和大小����,以及針對目標(biāo)環(huán)境自定義的時(shí)間戳。這樣一來,在另一個(gè)組織中發(fā)現(xiàn)的程序?qū)ζ渌芎φ邅碚f就沒有什么價(jià)值了���。這些核心植入程序就像后門一樣���,可以下載額外的模塊并在內(nèi)存中運(yùn)行命令。該模塊執(zhí)行特定的間諜功能����,如鍵盤記錄,竊取文件�,或從受感染的計(jì)算機(jī)和連接的USB設(shè)備劫持加密密鑰。一個(gè)特殊的模塊負(fù)責(zé)通過受感染的USB驅(qū)動(dòng)器訪問氣隙系統(tǒng)�����。
ProjectSauron背后的組織使用了復(fù)雜的指揮與控制基礎(chǔ)設(shè)施����,涉及美國和歐洲范圍廣泛的不同ISP和多個(gè)IP地址���。攻擊者盡了一切努力在其操作中不創(chuàng)建可識(shí)別的模式�。唯一可以自信地說的是�,如果沒有一個(gè)民族國家贊助商,這種復(fù)雜程度很難實(shí)現(xiàn)。值得注意的是�����,這個(gè)組織可能從其他知名的APT學(xué)習(xí)過����,比如Duqu、Flame�、Equation和Regin。
5. USB Thief
早在2016年�,研究人員就發(fā)現(xiàn)了一種USB惡意軟件,其特點(diǎn)是具有復(fù)雜的自我保護(hù)機(jī)制�����。它被稱為“USB Thief”�����,由六個(gè)文件組成���,其中兩個(gè)是配置文件�����,而其他四個(gè)是可執(zhí)行文件����。這些文件被設(shè)計(jì)成按照預(yù)先定義的順序執(zhí)行,其中一些文件是aes128加密的���。加密密鑰是使用唯一的USB設(shè)備ID和某些磁盤屬性生成的這使得解密和運(yùn)行文件變得很困難�,除非是在受感染的USB驅(qū)動(dòng)器上�。
其中三個(gè)可執(zhí)行文件是加載下一階段文件的加載程序。為了確保文件按正確的順序加載��,它們使用以前加載的文件的哈希作為名稱��。此外�,有些文件檢查父進(jìn)程的名稱,如果名稱錯(cuò)誤就終止�����。最后一個(gè)有效負(fù)載是一個(gè)數(shù)據(jù)竊取器��,它查看配置文件以獲取關(guān)于要竊取什么數(shù)據(jù)�����、如何加密數(shù)據(jù)以及在哪里存儲(chǔ)數(shù)據(jù)的信息���。數(shù)據(jù)總是被轉(zhuǎn)移到受感染USB設(shè)備上的某個(gè)位置�����。
USB Thief中實(shí)現(xiàn)的另一個(gè)有趣的技術(shù)是使用某些應(yīng)用程序的便攜版本����,如記事本����,F(xiàn)irefox和TrueCrypt,誘騙用戶運(yùn)行第一個(gè)惡意軟件加載程序�。為了實(shí)現(xiàn)這一目標(biāo),它將自己作為插件或動(dòng)態(tài)鏈接庫注入到這些應(yīng)用程序的命令鏈中�����。當(dāng)用戶運(yùn)行受感染的應(yīng)用程序時(shí)����,惡意軟件也會(huì)啟動(dòng)。這種惡意軟件并不普遍��,極有可能用于涉及人力資源的高度針對性攻擊。
研究人員懷疑它可能與Lamberts APT組織有關(guān):
6. TENSHO (又名White Tur)
2021年初��,在搜索假冒政府網(wǎng)站的釣魚頁面時(shí)�����,普華永道公司的研究人員偶然發(fā)現(xiàn)了一個(gè)用于仿冒塞爾維亞國防部證書的頁面��。這個(gè)頁面引導(dǎo)他們找到了一個(gè)被稱為“TENSHO”或“White turr”的未知攻擊者�����。這個(gè)攻擊者至少從2017年開始活躍��,使用了多種獨(dú)特的技術(shù)和工具�����,包括武器化文檔��、HTA和PowerShell腳本�、Windows可執(zhí)行程序和模仿政府網(wǎng)站的釣魚頁面。
在其他工具中�����,TENSHO使用OpenHardwareMonitor開源項(xiàng)目�,其表面目的是監(jiān)控設(shè)備溫度、風(fēng)扇速度和其他硬件健康數(shù)據(jù)����。攻擊者傳播惡意的OpenHardwareMonitor包,該包旨在以PowerShell腳本或Windows二進(jìn)制文件的形式傳遞TENSHO的惡意軟件�。
到目前為止,尚未發(fā)現(xiàn)該攻擊者與任何已知的APT組織之間存在聯(lián)系�。TENSHO的目標(biāo)是塞爾維亞和斯普斯卡共和國(波斯尼亞-黑塞哥維那境內(nèi)的一個(gè)對象)境內(nèi)的組織,顯示出非常具體的區(qū)域利益��。
7. PlexingEagle
在阿姆斯特丹舉行的2017年HITBSec會(huì)議上���,Emmanuel Gadaix介紹了一個(gè)非常有趣的GSM網(wǎng)絡(luò)間諜工具集的發(fā)現(xiàn)���,該工具集可能是由一個(gè)非常先進(jìn)的攻擊組織部署的,是在對客戶系統(tǒng)進(jìn)行常規(guī)安全掃描時(shí)發(fā)現(xiàn)的��。
該攻擊方案最初是由Gadaix的團(tuán)隊(duì)在一臺(tái)被攻擊者用作操作基礎(chǔ)的Solaris 10設(shè)備上發(fā)現(xiàn)的����。這樣,攻擊者利用對GSM基礎(chǔ)設(shè)施和網(wǎng)絡(luò)的先進(jìn)知識(shí)����,對執(zhí)法部門通常用于竊聽電話的功能進(jìn)行修復(fù)�����,以實(shí)現(xiàn)他們自己的機(jī)制來攔截感興趣的電話����。在攻擊中使用的惡意軟件使用LUA編寫��,研究人員看到其他高級攻擊者使用的語言�����,比如Flame和Project Sauron背后的那些人����。該攻擊和所謂的 “Athens Affair”之間有許多相似之處,這兩個(gè)示例是已知的唯一在野外抓獲的攻擊者的示例�����。
8. SinSono
2021年5月�����,向At&T�、Verizon、T-Mobile等運(yùn)營商提供短信路由服務(wù)的電信公司Syniverse檢測到對其IT系統(tǒng)的未經(jīng)授權(quán)訪問�����。一項(xiàng)內(nèi)部調(diào)查顯示��,2016年���,一個(gè)未知的攻擊者首次攻擊了Syniverse的基礎(chǔ)設(shè)施��。五年來�����,他們一直在不被發(fā)現(xiàn)的情況下運(yùn)行���,訪問了公司的內(nèi)部數(shù)據(jù)庫,并泄露了235名客戶的電子數(shù)據(jù)傳輸(EDT)環(huán)境登錄憑證�。通過這些賬戶,攻擊者可以訪問高度敏感的消費(fèi)者數(shù)據(jù)�����,例如通話記錄和短信內(nèi)容。
雖然該公司重置或停用了所有EDT客戶的憑據(jù)�,并聯(lián)系了受影響的組織,但仍存在許多問題:例如���,攻擊者是否真得竊取了敏感數(shù)據(jù)���。盡管該公司本身和一些依賴其服務(wù)的運(yùn)營商沒有發(fā)現(xiàn)重大攻擊跡象,也沒有試圖破壞其流程�,但研究人員既不知道誰是攻擊者,也不知道他們的目標(biāo)是什么�。對與攻擊有關(guān)的數(shù)據(jù)的分析表明,確認(rèn)其背后的組織很困難�����。
9. MagicScroll(又名AcidBox)
MagicScroll是一個(gè)復(fù)雜的惡意框架�����,于2019年首次被Palo Alto的研究人員發(fā)現(xiàn)�����。這是一種多級惡意軟件,已知的樣本很少�����,已知的受害者只有一個(gè)���,位于俄羅斯,于2017年受到攻擊���。MagicScroll的初始感染階段信息目前是缺失的����。第一個(gè)已知階段是作為安全支持提供者創(chuàng)建的加載程序�����,這是一個(gè)通常提供某些安全功能(如應(yīng)用程序身份驗(yàn)證)的DLL����。MagicScroll濫用這個(gè)功能來實(shí)現(xiàn)對lass .exe進(jìn)程的注入和可能的持久性。
加載程序的主要目的是解密和加載存儲(chǔ)在注冊表中的下一階段模塊��。此模塊利用VirtualBox驅(qū)動(dòng)程序漏洞在內(nèi)核模式下加載未簽名的惡意驅(qū)動(dòng)程序�。據(jù)Palo Alto的研究人員說,以前在Turla活動(dòng)中發(fā)現(xiàn)有攻擊者利用了這一漏洞,但是沒有跡象表明該攻擊者與Turla活動(dòng)背后的組織有任何聯(lián)系�。Palo Alto的研究人員還發(fā)現(xiàn)了與ProjectSauron的一些相似之處,但這些相似之處不足以表明這兩個(gè)活動(dòng)之間的聯(lián)系�。研究人員也沒有發(fā)現(xiàn)MagicScroll和任何其他已知APT之間存在任何聯(lián)系。
10. Metador
2022年9月�����,SentinelLabs首次曝光了Metador組織����。它主要針對中東和非洲幾個(gè)國家的ISP、電信公司和大學(xué)����,其中至少有一名受害者被近十個(gè)不同的APT組織攻擊過。
Metador運(yùn)營著兩個(gè)被稱為“metaMain”和“Mafalda”的惡意軟件平臺(tái)���,它們完全部署在內(nèi)存中�。metaMain平臺(tái)是一個(gè)功能豐富的后門��,它為攻擊者提供了對受感染系統(tǒng)的長期訪問�。它可以記錄鍵盤和鼠標(biāo)事件,制作屏幕截圖��,下載和上傳文件,并執(zhí)行任意shell代碼����。
Mafalda是一個(gè)正在積極開發(fā)的后門。其最新版本的時(shí)間戳為2021年12月��。它具有許多反分析技術(shù)���,支持67條命令�����,比上一個(gè)版本的惡意軟件多了13條。
除了典型的后門功能�����,metaMain和Mafalda還能夠與其他未知的植入程序建立連接�,并與這些植入程序交換數(shù)據(jù)。其中一種植入程序被稱為“Cryshell”�����,充當(dāng)metaMain或Mafalda與C2之間的中間服務(wù)器��。有理由相信存在未知的Linux植入程序,可以將從Linux設(shè)備收集的數(shù)據(jù)發(fā)送到Mafalda���。
目前還不清楚Metador背后的攻擊者是誰以及他們的目標(biāo)是什么���。設(shè)計(jì)用于長時(shí)間不被發(fā)現(xiàn)的復(fù)雜惡意軟件表明,這是一個(gè)由高端攻擊者發(fā)起的網(wǎng)絡(luò)間諜活動(dòng)�����。至少有些C2響應(yīng)是西班牙語的�����,這可能表明攻擊者或它的一些開發(fā)人員說西班牙語����。此外,在Metador的惡意軟件中還發(fā)現(xiàn)了一些文化參考���,包括英國流行朋克歌詞和阿根廷政治漫畫����。痕跡的多樣性使得很難確定它是在哪個(gè)國家運(yùn)作的����。其中一個(gè)假設(shè)是���,該集團(tuán)是一家高端承包商。
參考及來源:https://securelist.com/top-10-unattributed-apt-mysteries/107676/
來源:嘶吼專業(yè)版
在線咨詢
在線咨詢
0371-63319761