过去三个月,高级可持续性威胁活动的主要浪潮是由供应链攻击和零日漏洞驱动的。SolarWind公司用于监控IT基础设施的Orion IT软件被入侵,导致18,000多个客户网络被安装了一个定制后门,而Microsoft Exchange Server中的一个漏洞导致欧洲、俄罗斯和美国出现了一系列新的攻击活动。这些是卡巴斯基第一季度APT报告中最重要的发现。

高级威胁行为者仍在不断改变他们的策略,磨砺他们所使用的工具集,发起新的攻击浪潮。因此,为了让用户和组织了解他们所面临的威胁,卡巴斯基全球研究和分析团队(GReAT)提供了关于高级持续性威胁领域最重要发展情况的季度报告。在过去的这个季度,他们注意到两波主要的攻击活动。

第一波攻击活动是由SolarWinds入侵事件引起的,该IT管理服务提供商用于监控IT基础设施的Orion IT软件被入侵。这导致一种被称为Sunburst的定制后门被安装到了超过18,000个客户网络上。受害者中包括许多北美、欧洲、中东和亚洲的大型企业和政府机构。

经过仔细检查该后门,卡巴斯基研究人员注意到它与之前发现的被称为Kazuar的后门有相似之处,而这种后门最早于2017年被发现,而且与臭名昭著的Turla APT组织有关。这意味着Kazuar和Sunburst幕后的攻击者可能有所关联。

第二波攻击活动是由Microsoft Exchange Server的零日漏洞造成的,目前这个漏洞已经得到修补。3月初,一个被称为HAFNIUM的新的APT行为者被发现利用这些漏洞发起了一系列“受限制和针对性的攻击”。在3月的第一周,大约有1,400台服务器遭到漏洞利用被攻击,其中大多数服务器都位于欧洲和美国。考虑到一些服务器多次成为攻击目标,看上去似乎有多个组织在利用这些漏洞实施攻击。事实上,到3月中旬,卡巴斯基发现另一起利用相同漏洞并针对俄罗斯的攻击。这次的攻击行动似乎与HAFNIUM有一些关联,还与卡巴斯基之前调查的一些已知攻击集群活动存在联系。

臭名昭著的APT组织Lazarus也被报告发起了新的攻击活动集群,这些攻击也利用了零日漏洞。这一次,该组织使用社交工程手段说服安全研究人员下载受感染的Visual Studio项目文件或引诱受害者进入其博客,然后安装一种Chrome漏洞利用程序。这些诱饵经常围绕着零日漏洞。第一波攻击发生在1月,第二波发生在3月,而且这些攻击还伴随着一波假冒的社交媒体账户和假冒公司,目的是更有效地欺骗受害者。

经过仔细检查,卡巴斯基研究人员注意到,该攻击活动中使用的恶意软件与ThreatNeedle是一致的。ThreatNeedle是Lazarus开发的一款后门程序,在2020年年中被发现用来针对国防工业进行攻击。

另一波有趣的零日漏洞攻击行动被称为TurtlePower,这些攻击主要针对巴基斯坦和中国的政府实体以及电信机构,据称这些攻击活动与BitterAPT组织有关。这个目前已经得到修补的漏洞的起源似乎与“Moses”有关,Moses是一个代理组织,在过去两年开发了至少五个漏洞利用程序,其中有些漏洞利用程序被BitterAPT和 DarkHotel所利用。

“上季度最大的收获可能是了解了成功的供应链攻击的破坏性可以有多大。要完全了解SolarWinds的全部攻击范围,可能还需要几个月。好消息是,整个安全社区现在都在讨论这些类型的攻击——以及我们应当如何做来应对它们。前三个月的形势也提醒我们尽快为设备打补丁的重要性。零日漏洞仍将是APT组织攻击受害者最常见和最有效的方式,甚至通过令人惊讶的非常有创意的方式进行,正如Lazarus最近的攻击行动所显示的那样,”全球研究和分析团队(GReAT)高级安全研究员Ariel Jungheit评论说。

第一季度APT趋势报告总结了卡巴斯基威胁情报服务订阅客户专享的威胁情报报告的结果,其中还包括感染迹象(IOC)数据和YARA规则,以帮助安全人员进行取证分析和恶意软件追踪。更多详情,请联系:intelreports@kaspersky.com

要了解更多有关第一季度APT威胁形势详情,请访问Securelist.

为了保护你的企业免受高级可持续威胁活动的影响,卡巴斯基专家建议:

  • 尽管安装针对最新漏洞的补丁程序。一旦下载和安装补丁,威胁行为者就无法再利用这些漏洞进行攻击。
  • 对组织的IT基础设施进行定期安全审计,以发现安全缺口和包含漏洞的系统。
  • 端点保护解决方案中的漏洞和补丁管理功能可以大大简化IT安全管理人员的任务。
  • 安装反APT和EDR解决方案,开启威胁发现和检测功能以及事件调查和修复功能。为您的SOC团队提供最新的威胁情报,并定期为他们提供专业培训。上述所有服务都可以通过卡巴斯基专家安全框架获取。

关于卡巴斯基

卡巴斯基是一家成立于1997年的全球网络安全和数字隐私公司。卡巴斯基不断将深度威胁情报和安全技术转化成最新的安全解决方案和服务,为全球的企业、关键基础设施、政府和消费者提供安全保护。公司提供全面的安全产品组合,包括领先的端点保护解决方案以及多种针对性的安全解决方案和服务,全面抵御复杂的和不断演化的数字威胁。全球有超过4亿用户使用卡巴斯基技术保护自己,我们还帮助全球240,000家企业客户保护最重要的东西。要了解更多详情,请访问www.kaspersky.com.

漏洞和补丁泛滥的一个季度:APT行为者越来越多地利用漏洞来发起攻击

过去三个月,高级可持续威胁活动的主要浪潮是由供应链攻击和零日漏洞驱动的。
Kaspersky Logo