卡巴斯基研究人员发现了TunnelSnake行动,这是一起仍在进行的高级持续性威胁(APT)攻击活动,自2019年以来一直活跃,其针对的目标为亚洲和非洲的区域外交实体。攻击者会部署一种之前未知的被称为Moriya的rootkit。这款恶意软件对操作系统拥有几乎绝对的控制权,使威胁行为者能够拦截网络流量,并隐藏向受感染主机发出的恶意命令。这导致攻击者秘密控制了目标组织的网络长达数月之久。

Rootkit是一种恶意程序或软件工具集合,使攻击者几乎可以不受限制地偷偷访问受感染计算机。Rootkit因其混入操作系统结构的能力,以隐蔽性和规避性而臭名昭著。得益于微软公司多年来采取的保护系统的措施,成功部署和执行Rootkit组件已成为一项艰巨的任务,尤其是在内核领域,现在大多数Windows rootkit都用于高级APT攻击,例如TunnelSnake行动中。

针对这些攻击行动的调查始于卡巴斯基收到一组来自其产品的警报信息,警告在目标网络中发现一个独特的rootkit。这种被称为Moriya的rootkit有两个特征,特别具有规避性。它可以拦截并检查从Windows内核的地址空间(操作系统内核所在的内存区域,通常只运行特权和受信任的代码)的内存区域传输的网络数据包。这使得这种恶意软件可以在操作系统的网络堆栈处理之前,释放独特的恶意数据包。

这能够让攻击者躲避安全解决方案的检测。其次,这个rootkit并没有像大多数常见后门程序那样与任何服务器联系以请求命令,而是以特殊标记的数据包的形式接收了这些命令,这些数据包混在恶意软件检查的大量网络流量中。这使得该rootkit不需要维持一个命令和控制基础设施,阻碍了对其进行分析,使得其活动更难被追踪。

Moriya主要是通过入侵目标组织内易遭受攻击的Web服务器进行部署的。在其中一个案例中,攻击者使用China Chopper Webshell感染了服务器,该恶意程序允许远程控制受感染的服务器。 使用通过该WebShell获得的访问权限,部署了Moriya rootkit。

此外,在使用该rootkit的同时,还使用了一套不同的工具——这些工具是定制的或之前看到被多个说中文的威胁行为者使用过。这些攻击能够让攻击者扫描局域网,发现新的目标,在网络中进行横向移动,传播恶意软件并窃取文件。

“尽管我们无法将这次的攻击行动溯源到某个特定的威胁行为者,但这次攻击行动中使用的工具和攻击的目标都与已知的说中文的威胁组织有关,因此表明该威胁行为者可能也是说中文的。我们还发现了在2018年的一次独立攻击中也使用了较旧版本的Moriya ,这表明该威胁行为者至少从2018年就开始活动。被攻击目标的特征以及攻击中使用的工具集都表明该威胁行为者进行攻击行动的目的是进行间谍活动,但我们只能部分证明只一点,因为我们无法获取到真正被窃取的数据,”卡巴斯基全球研究和分析团队高级安全研究员Giampaolo Dedola评论说。

“随着我们继续增强装备,更好地抵御针对性攻击,威胁行为者也一直在通过改变他们的战略来进行应对。我们看到越来越多的隐蔽的攻击行动,例如TunnelSnake。在这些攻击行动中,威胁行为者采取了额外的措施以尽可能长时间不被雷达发现,同时对他们使用的工具集进行投资,使得工具更定制化、复杂和难以被检测。与此同时,正如我们发现的那样,高度隐蔽的工具也可以被发现和阻止。这是安全厂商和威胁行为者之间的持续竞赛,要赢得这场竞赛,我们作为网络安全社区,需要继续合作,”卡巴斯基全球研究和分析团队高级安全研究员Mark Lechtik补充说。

要阅读有关TunnelSnake攻击行动的完整报告,请访问Securelist.

有关这次攻击行动的感染迹象详情,包括文件哈希值,请访问卡巴斯基威胁情报门户

为了保护您的企业不受这类高级持续性威胁攻击行动的侵害,卡巴斯基专家建议:

  • 对组织的IT基础设施进行安全审计,及时发现安全漏洞和易遭受攻击的系统。
  • 确保使用成熟的端点安全解决方案,如卡巴斯基网络安全解决方案,并始终保持更新,以便它能够检测到最新类型的恶意软件,如这种rootkit。
  • 安装反APT和EDR解决方案。这将有助于发现和检测威胁,进行事件调查和及时的补救措施。为您的SOC团队提供最新的威胁情报,并定期为他们提供专业培训,提高他们的技能。以上所有服务均可通过卡巴斯基专家安全框架获取。
  • 通过参加卡巴斯基GReAT专家最近开发的“针对性恶意软件逆向工程”在线培训课程,提高您的网络安全团队应对最新针对性威胁的能力。

关于卡巴斯基

卡巴斯基是一家成立于1997年的全球网络安全和数字隐私公司。卡巴斯基不断将深度威胁情报和安全技术转化成最新的安全解决方案和服务,为全球的企业、关键基础设施、政府和消费者提供安全保护。公司提供全面的安全产品组合,包括领先的端点保护解决方案以及多种针对性的安全解决方案和服务,全面抵御复杂的和不断演化的数字威胁。全球有超过4亿用户使用卡巴斯基技术保护自己,我们还帮助全球240,000家企业客户保护最重要的东西。要了解更多详情,请访问www.kaspersky.com.

TunnelSnake行动:之前未知的rootkit被用来秘密控制亚洲和非洲的组织网络

卡巴斯基研究人员发现了TunnelSnake行动,这是一起仍在进行的高级持续性威胁(APT)攻击活动,自2019年以来一直活跃,其针对的目标为亚洲和非洲的区域外交实体。
Kaspersky Logo