Kaspersky: APT Annual Review 2021

来源：https://securelist.com/apt-annual-review-2021/105127/

私营部门供应商在威胁形势中发挥着重要作用

可能是 2021 年最大的故事，《卫报》和其他 16 家媒体组织在 7 月发表的一项调查表明，世界各地可能有超过 30,000 名人权活动家、记者和律师成为使用 Pegasus 的目标。这份名为 Pegasus Project 的报告称，该软件使用了多种漏洞，包括多个 iOS 零点击零日漏洞。根据对众多移动设备的取证分析，国际特赦组织的安全实验室发现该软件被反复以滥用方式用于监视。目标人物名单包括 14 位世界领导人。当月晚些时候，以色列政府的代表访问了国家统计局的办公室，作为对这些指控进行调查的一部分。 10 月，印度最高法院委托一个技术委员会调查政府是否使用 Pegasus 监视其公民。去年 11 月，Apple 宣布将对 NSO Group 采取法律行动，因为 NSO Group 开发了以“恶意软件和间谍软件”为目标的软件。

检测来自 Pegasus 和其他高级移动恶意软件的感染痕迹非常棘手，并且由于 iOS 和 Android 等现代操作系统的安全功能而变得复杂。根据我们的观察，部署非持久性恶意软件使情况变得更加复杂，重新启动后几乎不留痕迹。由于许多取证框架需要设备越狱，这会导致在重新启动期间从内存中删除恶意软件。目前，有几种方法可用于检测 Pegasus 和其他移动恶意软件。国际特赦组织的 MVT（移动验证工具包）是免费的、开源的，允许技术人员和调查人员检查手机是否有感染迹象。国际特赦组织提供的从知名案例中收集的 IoC（妥协指标）列表进一步促进了 MVT。

供应链攻击

在过去的 12 个月中，发生了许多备受瞩目的供应链攻击。去年 12 月，据报道，知名 IT 管理服务提供商 SolarWinds 成为复杂供应链攻击的受害者。该公司的 Orion IT（一种用于监控和管理客户 IT 基础设施的解决方案）遭到破坏。这导致在北美、欧洲、中东和亚洲的 18,000 多个 SolarWinds 客户（包括许多大型公司和政府机构）的网络上部署了一个名为 Sunburst 的自定义后门。

并非所有供应链攻击都那么复杂。今年年初，我们追踪为 BountyGlad 的一个 APT 组织破坏了蒙古的一个证书颁发机构，并用恶意下载器替换了数字证书管理客户端软件。相关基础设施被识别并用于其他多个事件：这包括对香港 WebSphere 和 WebLogic 服务的服务器端攻击，以及客户端的 Flash Player 安装程序被木马化。

在调查亚洲政府认证机构网站上供应链攻击的工件时，我们发现了一个可追溯到 2020 年 6 月的木马包。解开该线程，我们发现了许多插件形式的后妥协工具使用 PhantomNet 恶意软件进行部署，而该恶意软件又是使用上述木马程序包交付的。我们对这些插件的分析揭示了与之前分析的 CoughingDown 恶意软件的相似之处。

2021 年 4 月，代码覆盖解决方案提供商 Codecov 公开披露其 Bash Uploader 脚本已被入侵，并于 1 月 31 日至 4 月 1 日期间分发给用户。 Bash Uploader 脚本由 Codecov 公开分发，旨在收集有关用户的执行环境，收集代码覆盖率报告并将结果发送到 Codecov 基础设施。这种脚本妥协有效地构成了供应链攻击。

今年早些时候，我们使用更新的 DeathNote 集群发现了 Lazarus 团体活动。我们的调查揭示了 Lazarus 建立供应链攻击能力的迹象。在一个案例中，我们发现感染链源于合法的韩国安全软件执行恶意负载；在第二种情况下，目标是一家开发资产监控解决方案的公司，它是 Lazarus 的非典型受害者。作为感染链的一部分，Lazarus 使用了一个名为 Racket 的下载器，他们使用窃取的证书对其进行了签名。该攻击者破坏了易受攻击的 Web 服务器并上传了几个脚本来过滤和控制成功入侵的受害者机器上的恶意植入。

一个以前未知的、疑似中文APT修改了东亚某国分发服务器上的指纹扫描仪软件安装包。 APT 修改了一个配置文件，并将一个带有 .NET 版本的 PlugX 注入器的 DLL 添加到安装程序包中。该国中央政府的员工必须使用此生物识别包来跟踪出勤情况。我们将此供应链事件和此特定 PlugX 变体称为 SmudgeX。木马安装程序似乎已从 3 月到 6 月在分发服务器上上演。

漏洞利用

3 月 2 日，微软报告了一个名为 HAFNIUM 的新 APT 攻击者，利用 Exchange Server 中的四个零日漏洞进行他们所谓的“有限和有针对性的攻击”。当时，微软声称，除了 HAFNIUM 之外，还有其他几个参与者也在利用它们。与此同时，Volexity 还报告称，2021 年初正在使用相同的 Exchange 零日漏洞。根据 Volexity 的遥测数据，除了微软指定为 HAFNIUM 的漏洞之外，一些正在使用的漏洞被多个参与者共享。卡巴斯基遥测显示，在微软公开披露和修补这些漏洞后，利用这些漏洞的尝试激增。在 3 月的第一周，我们确定了大约 1,400 个独特的服务器成为目标，其中一个或多个漏洞被用来获得初始访问权限。根据我们的遥测数据，在欧洲和美国的服务器上观察到了大多数漏洞利用尝试。一些服务器被看似不同的威胁参与者多次攻击（基于命令执行模式），这表明这些漏洞已被多个组使用。

我们还发现，自 3 月中旬以来，一场针对欧洲和亚洲政府实体的活动使用相同的 Exchange 零日漏洞攻击活动。该活动利用了我们称为 FourteenHi 的以前未知的恶意软件系列。进一步的调查揭示了涉及该恶意软件变体的活动痕迹可追溯到一年前。我们还发现这些活动与 HAFNIUM 在基础设施和 TTP 以及在同一时间段内使用 ShadowPad 恶意软件方面存在一些重叠。

1 月 25 日，谷歌威胁分析小组 (TAG) 宣布，一个国家资助的威胁行为者将安全研究人员作为目标。根据 Google TAG 的博客，该攻击者使用了高度复杂的社交工程，通过社交媒体与安全研究人员接洽，并提供了一个受损的 Visual Studio 项目文件或将他们引诱到他们的博客上，那里有一个 Chrome 漏洞正在等待着他们。 3 月 31 日，谷歌 TAG 发布了有关此活动的更新，显示又一波虚假社交媒体资料和演员在 3 月中旬成立的公司。我们确认博客上的几个基础设施与我们之前发布的关于 Lazarus 组织的 ThreatNeedle 集群的报告重叠。此外，谷歌提到的恶意软件与我们自 2018 年以来一直在跟踪的恶意软件 ThreatNeedle 相匹配。 在调查相关信息时，一位外部研究员证实他也受到了这次攻击的影响，并分享了信息供我们调查。在解密来自受感染主机的配置数据后，我们发现了额外的 C2 服务器。在我们的调查期间，服务器仍在使用中，我们能够获得与攻击相关的其他数据。我们评估已发布的基础设施不仅用于针对安全研究人员，还用于其他 Lazarus 攻击。我们在研究时发现相对大量的主机与 C2 通信。

扩展我们对针对 CVE-2021-1732 的漏洞的研究，最初由 DBAPPSecurity 威胁情报中心发现并由 Bitter APT 小组使用，我们发现了另一个可能在亚太 (APAC) 地区使用的零日漏洞。进一步的分析表明，这种特权提升 (EoP) 漏洞至少自 2020 年 11 月以来就可能被广泛使用。我们在 2 月份向 Microsoft 报告了这一新漏洞。在确认我们确实在处理一个新的零日漏洞后，它收到了 CVE-2021-28310 的名称。漏洞利用中留下的各种标记和工件意味着我们非常确信 CVE-2021-1732 和 CVE-2021-28310 是由我们跟踪的与 Moses 相同的漏洞利用开发人员创建的。摩西似乎是一名漏洞利用开发人员，他根据过去的其他漏洞利用和观察到的使用它们的攻击者，向多个威胁参与者提供漏洞利用。迄今为止，我们已经确认至少有两个已知的威胁行为者利用了最初由 Moses 开发的漏洞：Bitter APT 和 Dark Hotel。基于类似的标记和人工制品，以及从第三方私下获得的信息，我们认为过去两年在野外观察到的至少有六个漏洞源自摩西。虽然 EoP 漏洞是在野外发现的，但我们无法直接将其使用与我们当前跟踪的任何已知威胁行为者联系起来。 EoP 漏洞可能与其他浏览器漏洞链接在一起，以逃避沙箱并获得系统级权限以进行进一步访问。不幸的是，我们无法捕获完整的漏洞利用链，因此我们不知道该漏洞利用是否与其他浏览器零日漏洞一起使用，或者与利用已知已修补漏洞的漏洞利用相结合。

4 月 14 日至 15 日，卡巴斯基技术检测到一波针对多家公司的高度针对性攻击。更仔细的分析表明，所有这些攻击都利用了一系列 Google Chrome 和 Microsoft Windows 零日漏洞。虽然我们无法在 Chrome 网络浏览器中检索用于远程代码执行 (RCE) 的漏洞，但我们能够找到并分析用于逃离沙箱并获取系统权限的 EoP 漏洞。 EoP 漏洞利用经过微调以针对 Windows 10 的最新和最突出版本（17763 – RS5、18362 – 19H1、18363 – 19H2、19041 – 20H1、19042 – 20H2）并利用 Microsoft Windows 操作系统中的两个不同漏洞核心。我们向 Microsoft 报告了这些漏洞，他们将 CVE-2021-31955 分配给信息披露漏洞，将 CVE-2021-31956 分配给 EoP 漏洞。作为 6 月补丁星期二的一部分，这两个漏洞都在 6 月 8 日进行了修补。漏洞利用链试图通过滴管在系统中安装恶意软件。恶意软件作为系统服务启动并加载有效负载，这是一个远程 shell 式后门，然后连接到 C2 以获取命令。因为我们找不到与已知参与者的任何联系或重叠，我们将这个活动集群命名为 PuzzleMaker。

最后，在今年年底，我们检测到了一波使用特权提升漏洞攻击的攻击浪潮，该攻击影响了 Windows 操作系统的服务器变体。经过仔细分析，我们发现这是 Win32k.sys 中的一个零日释放后使用漏洞，我们向 Microsoft 报告并因此修复为 CVE-2021-40449。我们分析了关联的恶意软件，将关联的集群命名为 MysterySnail，并发现将其链接到 IronHusky APT 的基础设施重叠。

固件漏洞

9 月，我们提供了 FinSpy PC 植入程序的概述，不仅涵盖 Windows 版本，还涵盖 Linux 和 macOS 版本。 FinSpy 是一个臭名昭著的商业监视工具集，用于“合法监视”目的。从历史上看，一些非政府组织多次报告说它被用来对付记者、政治异议人士和人权活动家。从历史上看，它的 Windows 植入是由一个单阶段间谍软件安装程序代表的。直到 2018 年，该版本已被多次检测和研究。从那时起，我们观察到 FinSpy for Windows 的检测率下降。虽然这种异常的性质仍然未知，但我们开始检测一些带有 Metasploit stagers 后门的可疑安装程序包。直到 2019 年年中，当我们在适用于 Android 的 FinSpy Mobile 植入程序中找到为这些安装程序提供服务的主机时，我们才能将这些程序包归因于任何威胁行为者。在我们的调查过程中，我们发现后门安装程序只不过是第一阶段的植入物，用于在实际的 FinSpy 木马之前下载和部署更多的有效载荷。除了木马安装程序之外，我们还观察到涉及使用 UEFI 或 MBR 引导包的感染。虽然 MBR 感染至少自 2014 年以来就已为人所知，但我们的报告中首次公开披露了 UEFI 引导套件的详细信息。

在第三季度末，我们发现了一个以前未知的具有高级功能的有效载荷，它使用两个感染链向中东的各种政府组织和电信公司交付。有效载荷利用 Windows 内核模式 rootkit 来促进其某些活动，并且能够通过 MBR 或 UEFI 引导工具包进行持久部署。有趣的是，在这次攻击中观察到的一些组件以前曾多次被 Slingshot 代理在内存中上演，其中 Slingshot 是我们过去在几个案例中讨论过的后开发框架（不要与 Slingshot APT 混淆） ）。它主要以正式为红队参与设计的专有商业渗透测试工具包而闻名。然而，这并不是攻击者第一次利用它。我们之前在 2019 年发布的一份涵盖 FruityArmor 活动的报告显示，该威胁组织使用该框架来针对中东多个行业的组织，可能是利用信使应用程序中的未知漏洞作为感染媒介。在最近的一份私人情报报告中，我们对新发现的恶意工具包进行了深入分析，该工具包是我们与 Slingshot 一起观察到的，以及它是如何在野外活动集群中被利用的。最值得注意的是，我们概述了恶意软件中明显的一些高级功能，以及它在针对中东知名外交目标的特定长期活动中的利用。