高级持续性威胁(APT)行为者在不断寻找新的以及更为复杂的施展攻击的手段。这也是为什么卡巴斯基研究人员要监控APT组织如何更新他们所使用的工具集的原因。根据卡巴斯基的季度报告,2021年第二季度,威胁领域见证了针对Microsoft Exchange服务器攻击的增长。在最新的2021年APT报告中,卡巴斯基披露了一个独特的长期的攻击行动“GhostEmperor”的详情,该攻击行动使用Microsoft Exchange漏洞,并使用先进的工具集对知名受害者进行攻击,而且这次攻击与任何已知的威胁行为者没有关联。
GhostEmperor是一个由卡巴斯基研究人员发现的说中文的威胁行为者。其攻击目标主要位于东南亚,包括多家政府实体和电信公司。
这个威胁行为者之所以突出,是因为它使用了一种之前未知的Windows内核模式的rootkit。Rootkit提供对其目标服务器的远程控制访问。rootkit行动隐蔽,以躲避调查人员和安全解决方案而臭名昭著。为了绕过Windows驱动签名执行机制,GhostEmperor使用了一种加载方案,该方案涉及名为“Cheat Engine”的开源项目的组件。这种先进的工具集是独一无二的,卡巴斯基研究人员认为它与已经知道的威胁者没有任何关联。卡巴斯基专家推测,该工具集至少自 2020年7月以来一直在使用。
“随着检测和保护技术不断发展,APT行为者也在不断发展。他们通常会刷新和更新他们的工具集。GhostEmperor是一个明显的例子,说明网络罪犯如何寻找新的技术和新的漏洞来加以利用。使用之前未知的复杂rootkit,他们给已经确立的针对 Microsoft Exchange 服务器的攻击趋势带来了新问题,”卡巴斯基安全专家David Emm评论说。
除了针对Microsoft Exchange服务器的攻击有所增长之外,卡巴斯基专家还发现2021年第二季度APT领域有以下趋势:
想要了解更多有关GhostEmperor和本季度其他重要发现,请阅读Securelist上的20201年第二季度APT趋势报告。这份报告总结了卡巴斯基仅提供给订阅用于的威胁情报报告,其中还包括可复制进行取证分析和恶意软件追踪的感染迹象(IoC)和YARA规则。更多详情,请联系:intelreports@kaspersky.com
为了避免成为已知或未知威胁行为者发动的针对性攻击的受害者,卡巴斯基研究人员推荐采取以下措施:
卡巴斯基是一家成立于1997年的全球网络安全和数字隐私公司。卡巴斯基不断将深度威胁情报和安全技术转化成最新的安全解决方案和服务,为全球的企业、关键基础设施、政府和消费者提供安全保护。公司提供全面的安全产品组合,包括领先的端点保护解决方案以及多种针对性的安全解决方案和服务,全面抵御复杂的和不断演化的数字威胁。全球有超过4亿用户使用卡巴斯基技术保护自己,我们还帮助全球240,000家企业客户保护最重要的东西。要了解更多详情,请访问www.kaspersky.com .