从零日漏洞利用程序到猖獗的勒索软件：2017年第二季度高级针对性攻击的演化

2017年第二季度，复杂的威胁攻击者放出了大量最新的和增强的恶意工具，包括三个零日漏洞利用程序和两起前所未有的攻击：WannaCry和ExPetr。安全专家对上述最后两种威胁进行分析后发现，这些代码可能是在完全完成之前就被泄露出来，这种情况对于资源完善的攻击者来说并不常见。卡巴斯基实验室最新的威胁情报季度总结中涵盖了上述以及其他最新趋势。

从4月到6月底，使用俄语、英语、韩语和汉语的攻击者在针对性攻击方面动作很大。这些变化和发展对企业IT安全造成了深远的影响：复杂的恶意活动几乎随时都在全球各地发生，增加了公司和非商业组织在网络战中遭受附带损害的风险。据称，有国家和政府支持的WannaCry和ExPetr造成了毁灭性的疫情，其受害者包括全球很多企业和组织，这些威胁是这种最新的同时非常危险的趋势的第一个例子，而且很可能不是最后一个。

• 使用俄语的攻击者Sofacy和Turla使用了三种Windows零日漏洞进行攻击。Safacy又被称为APT28或FancyBear，该攻击组织针对一系列欧洲目标部署了漏洞利用程序攻击，其中包括政府机构和政治组织。此外，还发现该攻击组织测试一些试验工具，最值得注意的是在法国大选之前针对一个法国政党人员实施攻击。
• Gray Lambert—卡巴斯基实验室分析了Lambert组织迄今为止最为先进的工具，该组织是一个高度复杂的，使用英语的网络间谍攻击组织。经过分析，发现了两种最新的相关的恶意软件家族。
• 5月12日发生的WannaCry攻击和6月27日发生的ExPetr攻击。虽然性质和攻击目标不同，但这两种威胁作为“勒索软件”，都令人惊讶地没有效果。例如，在WannaCry攻击中，其在全球迅速传播，使得攻击者的比特币赎金账户吸引了大量关注，造成攻击者很难将赎金变现。这表明，WannaCry攻击的真正目的是进行数据破坏。卡巴斯基实验室的专家还发现Lazarus攻击组织和WannaCry之间存在进一步关联。伪装成勒索软件的破坏性恶意软件模式在ExPeTr攻击中再次出现。
• 针对乌克兰、俄罗斯和欧洲其他地区组织的ExPetr攻击似乎也是勒索软件攻击，但是结果却发现是纯粹破坏性的攻击。ExPetr攻击背后的动机仍然是一个谜。卡巴斯基实验室专家认为这次的攻击者似乎同Black Energy攻击组织有关。
• “我们一直强调真正的全球威胁情报在帮助保护敏感和关键网络安全时的重要性。我们继续目睹狂热的攻击者不断发展，完全不顾互联网的健康，而且还有很多每天都依赖互联网的重要机构和企业。网络间谍、破坏和犯罪行为猖獗，所以，所有的防御人员应该团结起来，分享最前沿的知识，更好地抵御所有威胁，这一点尤为重要，”卡巴斯基实验室全球研究和分析团队高级安全研究员Juan Andres Guerrero-Saade说。

第二季度的高级可持续性威胁趋势报告总结了这些发现，只有卡巴斯基实验威胁情报服务订阅者才能够获取该报告。2017年第二季度，卡巴斯基实验室全球研究和分析团队为订阅客户提供了23份私人报告，其中包括感染痕迹（IOC）数据以及用于取证分析和追踪恶意软件的YARA规则。

更多详情，请联系：intelreports@kaspersky.com