低级别植入物、猎取加密货币以及地缘政治攻击：2022年第一季度APT行为者有哪些动作

2022年的前三个月，卡巴斯基研究人员继续在全球范围内发现APT阻止开发的最新工具、技术以及发动的攻击行动。涵盖三个月形势的APT趋势报告来自卡巴斯基的私人威胁情报研究以及研究人员认为每个人都应该了解的重大发展和网络事件。

整个2022年第一季度，正在进行的APT活动是由新发起的活动和围绕敏感地缘政治事件的一系列攻击推动的。其中最重要的发现包括：

·         地缘政治危机是APT发展的关键驱动因素

威胁领域出现大量围绕乌克兰危机的攻击。HermeticRansom、DoubleZero 和许多其他针对乌克兰实体的新攻击在 2 月和 3 月都有报道。APT组织Gamaredon和UNC1151（Ghostwriter）部署的新基础设施数量明显激增。调查过程中，卡巴斯基研究人员发现了2021年12月开发的两个WhisperGate原型样本，其中包含测试字符串和微软共享样本中观察到勒索字条的早期修订版。他们非常肯定地认为，这些样本是曾报道过的在乌克兰使用的Wiper的早期迭代。

与此同时，卡巴斯基研究人员发现了与Konni威胁行为者有关的三起攻击活动。该威胁行为者主要攻击俄罗斯的外交实体，并且从2021年年中就开始活跃。虽然攻击者在不同的活动中使用相同的Konni RAT植入物，但每次活动的感染媒介都不同：有的是使用包含内嵌宏的文档，有的是伪装成COVID-19注册申请表的安装程序，还有假冒成新年屏保程序的下载器。

·         低级别攻击的回归

去年，卡巴斯基研究人员预测，2022年低级植入物将进一步发展。这一趋势的一个突出例子是卡巴斯基发现的Moonbounce，这是已知的第三个在野外存在的固件bootkit。这种恶意植入物隐藏在统一可扩展固件接口（UEFI）固件中，而固件是计算机重要的组成部分。该植入物是在SPI闪存中发现的，SPI闪存是硬盘驱动器外部的存储组件。这些相关的攻击活动可以溯源到知名的APT行为者APT41。

·         APT行为者猎取加密货币

在本季度，卡巴斯基还发现APT行为者继续猎取加密货币。与大多数政府赞助的APT组织不通，Lazarus和其他APT威胁行为者将获取经济利益作为其主要目标。该威胁行为者分发木马化的去中心化金融（DeFi）应用程序，以增加利润。Lazarus滥用用于管理加密货币钱包的合法应用程序，分发恶意软件，对受害者的系统进行控制。

·         更新和在线服务滥用

APT行为者在不断寻找新的方法来提升他们的攻击效率。被称为DeathStalker的网络雇佣军组织继续更新其并不复杂的工具，使其攻击更加有效。Janicab是该组织使用的最古老的恶意软件，于2013年首次推出，该恶意软件是这种趋势的一个典型的示例。整体来看，Janicab显示了与其对应的恶意软件家族相同的功能，但不是像该组织过去对EVILNUM和Powersing入侵所做的那样，在入侵生命周期的后期下载多个工具，而是将大多数工具嵌入并在释放器中并进行了混淆。此外，DeathStalker使用世界上最大的在线服务，如YouTube、Google+和WordPress等，作为dead-drop解析器（DDR）来执行有效的隐蔽命令和控制功能。

“地缘政治一直是APT攻击的主要驱动因素，而且从未像现在这样明显。我们生活在一个动荡的时代，这一点通过网络安全的滤镜也能很明显地看到。与此同时，我们可以看到，对很多威胁行为者来说，第一季度还是正常地开展业务，不断的更新工具和发起新的攻击活动，其目的不仅仅是为了获取信息，还是为了获取金钱，”卡巴斯基全球研究与分析团队（GReAT）首席安全研究员David Emm评论说：“这意味着，企业和组织需要像以往一样保持警惕，并确保他们使用威胁情报和正确的工具来武装自己，以抵御现有和新出现的威胁”。

第一季度APT趋势报告总结了卡巴斯基威胁情报报告订阅用户专享的结果，其中还包括感染迹象（IoC）数据和YARA规则，用来协助进行取证分析和恶意软件追踪。更多详情，请联系： intelreports@kaspersky.com

本季度早些时候，卡巴斯基全球研究与分析团队（GReAT）做了一个关于乌克兰网络攻击的演讲，包括最新的APT活动。您可以访问这里查看网络研讨会的录像，点击这里查看会议摘要。

要阅读完整版2022年第一季度APT报告，请访问Securelist.

为了避免成为已知或未知威胁行为者的针对性攻击的受害者，卡巴斯基研究人员建议采取以下措施：

·         为您的 SOC 团队提供对最新威胁情报（TI）的访问。卡巴斯基威胁情报门户网站是卡巴斯基威胁情报的一站式访问点，提供卡巴斯基超过20年来收集的网络攻击数据以及见解。为了帮助企业在这个动荡的时代实现有效的防御，卡巴斯基宣布免费提供独立的、不断更新的、来自全球的关于正在进行的网络攻击和威胁的信息。请点击这里获取免费访问。

·         使用由GReAT专家开发的卡巴斯基在线培训课程来提升您的网络安全团队对抗最新针对性威胁的能力。

·         为了实现端点级别的检测和及时的调查和修复，请部署EDR解决方案，例如卡巴斯基端点检测和响应

·         除了采取基础端点保护措施外，请部署能够在早期阶段在网络层面检测高级威胁的企业级安全解决方案，例如卡巴斯基反针对性攻击平台

·         由于很多针对性攻击都是从网络钓鱼或其他社交工程手段开始的，所以为员工引入安全意识培训并教授实用安全技巧非常重要。例如可以使用卡巴斯基自动化安全意识平台