卡巴斯基：2018年度安全大事件盘点

Turla(又名Venomous Bear、Waterbug和Uroboros)恶意组织最著名的就是当时极度复杂的Snake Rootkit，主要攻击与北约相关的目标。然而，这一恶意组织的实际活动要比这一恶意软件广泛得多。10月，我们报道了Turla组织近期的活动，揭示了旧代码、新代码和新猜测的有趣组合，以及推测了该恶意组织的后续计划。我们在2018年的大部分研究，都集中于他们的KopiLuwak JavaScript后门、Carbon框架的新变种以及Meterpreter交付技术。其他一些值得关注的地方是他们使用不断变化的Mosquito投递技术、定制的PoshSec-Mod开源PowerShell和从别处借用的注入代码。我们将一些恶意活动与WhiteBear和Mosquito基础设施及数据点以及恶意组织在2017年和2018年期间的活动相关联。该恶意组织的目标很少与其他APT活动相重叠。Turla并没有参加具有里程碑意义的DNC黑客活动(Sofacy和CozyDuke都曾参与)，他们悄然活跃在全球各地的其他恶意活动中，与该恶意组织相关的攻击方法尚未被武器化。Mosquito和Carbon活动主要针对外交和外交事务目标，而WhiteAtlas和WhiteBear活动遍布全球，针对于外交相关的组织，但还针对一些科技组织以及与政治无关的组织。该组织的KopiLuwak恶意活动没有针对于外交和外交事务，相反，在2018年的恶意活动主要针对具有政府背景的科学和能源研究组织，以及阿富汗政府相关的通信组织。这种具有高度针对性但更加广泛的目标选择模式可能会持续到2019年。

10月，我们报道了MuddyWater APT组织近期的活动。我们在过去的监测表明，这个相对较新的恶意组织在2017年浮出水面，主要针对伊拉克和沙特阿拉伯的政府目标发动攻击。然而，众所周知，近期MuddyWater背后的恶意组织又将目标瞄准中东、欧洲和美国的其他国家。我们注意到，近期大量的鱼叉式网络钓鱼文件似乎针对约旦、土耳其、阿塞拜疆和巴基斯坦的政府机构、军事实体、电信公司和教育机构，此外他们针对伊拉克和沙特阿拉伯还在发动持续的攻击。在马里、奥地利、俄罗斯、伊朗和巴林，也发现了受到攻击的主机。这些新恶意文档创建于2018年，恶意活动从5月开始升级。新的鱼叉式网络钓鱼文档依靠社会工程学来诱导受害者启用宏。受害者依靠一系列被攻陷的主机来发动攻击。在我们研究的高级阶段，我们不仅发现该恶意组织武器库中的一些其他文件和工具，还观察到攻击者所犯的一些OPSEC错误。为了防范恶意软件攻击，我们建议采取如下措施：

• 对普通员工开展安全教育，以便他们能够识别网络钓鱼链接等恶意行为。
• 对信息安全人员开展专业培训，确保他们具备完整的配置加固、事件调查和溯源能力。
• 使用经过验证的企业级安全解决方案，与能够通过分析网络异常来检测攻击的反目标攻击解决方案相结合。
• 为安全人员提供访问最新威胁情报数据的权限，例如IoC和YARA规则。
• 建立企业级补丁管理流程。

大型组织更应该应用高水平的网络安全技术，因为攻击者对这些组织的攻击是无法避免的，并且永远不太可能停止。

DustSquad是另一个针对中亚组织的恶意组织。在过去两年中，卡巴斯基实验室一直在监控这个使用俄语的网络间谍组织，并想我们的客户提供有关针对Android和Windows的四个恶意活动的私有情报报告。最近，我们分析了一个名为Octopus的恶意程序，该程序用于攻击特定地区的外交机构。这一名称是由ESET在2017年确定的，因为他们在旧的C&C服务器上发现攻击所使用的0ct0pus3.php脚本。使用卡巴斯基归因引擎(Kaspersky Attribution Engine)基于相似度算法进行分析，我们发现Octopus与DustSquad相关。在我们的监测中，我们在中亚地区前苏联成员国和阿富汗发现这一活动的踪迹。4月，我们发现了一个新的Octopus样本，伪装成具有俄语界面的Telegram Messenger。我们无法找到该恶意软件所冒充的合法软件，事实上，我们认为相应的合法软件并不存在。然而，攻击者利用哈萨克斯坦潜在的禁止使用Telegram规定来推动其Dropper作为政治反对派的替代通信软件。

10月，我们发表了针对Dark Pulsar的分析。我们的调查始于2017年3月，当时Shadow Brokers发布的被窃取数据中包含了两个框架，分别是DanderSpritz和FuzzBunch。DanderSpritz中包含各种类型的插件，旨在分析受害者、实现漏洞利用、添加计划任务等。DanderSpritz框架旨在检查已受控制的计算机，并从中收集情报。这两个框架共同为网络间谍提供了一个非常强大的平台。但泄露的数据中并不包括Dark Pulsar后门本身，而是包含一个用于控制后门的管理模块。但是，通过在管理模块中基于一些常量创建特殊签名，我们就能够捕获到植入工具。这种植入工具使攻击者能够远程控制被感染设备。我们发现了50台被感染的设备，它们位于俄罗斯、伊朗和埃及，但我们相信可能还会有更多。首先，DanderSpritz接口能同时管理大量被感染主机。此外，攻击者通常会在恶意活动结束后删除恶意软件。我们认为这一恶意活动在2017年4月Shadow Brokers泄露“Lost in Translation”后就停止了。针对Dark Pulsar这样的复杂威胁，大家可以在这里查看我们提供的缓解策略。

三、移动APT攻击系列

2018年，在移动APT威胁部分，我们主要发现了三起重大事件：Zoopark、BusyGasper和Skygofree网络间谍活动。

（编辑：财气旺网 - 海宁网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!