2020年10月1日,DHS CISA 机构发布了有关名为 SlothfulMedia 的恶意软件家族的相关信息,并认为该威胁属于一个复杂的威胁行为者。
2020年10月1日,DHS CISA 机构发布了有关名为 SlothfulMedia 的恶意软件家族的相关信息,并认为该威胁属于一个复杂的威胁行为者。仔细研究该报告后,卡巴斯基发现其自2018年6月以来一直在追踪该威胁行为者的活动,并且卡巴斯基之前将这个威胁行为者称为 IAmTheKing。根据其活动,研究人员确定该组织为得到政府支持的威胁行为者,其主要活动是收集知名实体的情报,而且主要活动范围在俄罗斯。
尽管公众最近才了解到该威胁组织的活动情况,但IAmTheKing 威胁组织已经活跃多年了。该威胁组织拥有一个演化迅速的工具集,并且掌握了传统的渗透测试方法和Powershell(一种任务自动化和配置管理工具)的使用方法。
过去几年,卡巴斯基研究人员发现了由同一威胁行为者开发的三个恶意软件家族,他们将其称为 KingOfHearts、QueenOfHearts 和 QueenOfClubs,CHS CISA则将其称为 SlothfulMedia。这三个恶意软件家族都是后门程序,能够提供对受感染设备的远程访问。但是,威胁行为者使用的工具集还包括大量的Powershell脚本库、一个 JackOfHearts 释放器和屏幕捕捉工具。
该威胁行为者主要使用鱼叉式钓鱼攻击手段,攻击者利用恶意软件感染受害者的设备,之后利用知名的安全测试程序来入侵网络中的其他计算机。
直到最近,IAmTheKing一直专注于从高调的俄罗斯实体中收集情报。受害者包括政府机构和国防承包商、公共发展机构、大学和能源企业。但是,2020年,卡巴斯基在中亚和东欧国家发现了关于IAmTheKing 的罕见情况。DHS CISA 也报告了该威胁行为者在乌克兰和马来西亚的活动。 目前还不清楚这种攻击对象位置的改变是否意味着威胁行为者正在调整其战略,或者其他威胁行为者正在使用其工具集。
“IAmTheKing 已经活跃多年了,而且其活动非常特殊,尽管其使用的工具集较为完善,但在技术上并不出色。现在,随着该威胁行为者被公开,更多的组织将研究其工具集。因此,我们想要提供我们目前收集到的数据,以促进社区合作,帮助其他网络安全专家防御这种威胁行为者。但有点很重要,需要注意,现在IAmTheKing已经被公开,所以该威胁行为者可能会进一步调整和升级其工具集。我们将继续调查这种威胁行为者,并与我们的客户分享有关其活动信息,”卡巴斯基全球研究和分析团队高级安全研究员 Ivan Kwiatkowski 评论说。
更多有关 IAmTheKing 所使用的工具集的详情,请访问Securelist.
为了远离IAmTheKing等恶意软件的威胁,卡巴斯基给出以下建议:
- 使用 YARA 规则追踪威胁。请通过卡巴斯基在线培训,了解更多有关使用 YARA 追踪威胁的详情,地址:https://kas.pr/o6u3
- 为您的 SOC 团队提供对最新威胁情报(TI)的访问。卡巴斯基威胁情报门户网站是卡巴斯基威胁情报的一站式访问点,提供卡巴斯基超过20年来收集的网络攻击数据以及见解。
- 为了获得端点级别的检测和及时的事件调查和修复,请保护署 EDR 解决方案,例如卡巴斯基端点检测和响应。该解决方案还能够检测利用合法软件发动的攻击。
除了采用基础端点保护外,请部署企业级安全解决方案,例如卡巴斯基反针对性攻击平台。该解决方案能够在早期阶段在网络层面检测高级威胁。
关于卡巴斯基
卡巴斯基是一家成立于1997年的全球网络安全公司。卡巴斯基不断将深度威胁情报和安全技术转化成最新的安全解决方案和服务,为全球的企业、关键基础设施、政府和消费者提供安全保护。公司提供全面的安全产品组合,包括领先的端点保护解决方案以及多种针对性的安全解决方案和服务,全面抵御复杂的和不断演化的数字威胁。全球有超过4亿用户使用卡巴斯基技术保护自己,我们还帮助全球250,000家企业客户保护最重要的东西。要了解更多详情,请访问www.kaspersky.com.
