在很多大型和小型的攻击行动中,COVID-19 疫情常被用作诱饵。
卡巴斯基研究人员发现网络罪犯的APT武器库在不同的战线上持续发展——从针对新平台和主动漏洞利用工具到转向使用全新的工具。卡巴斯基最新的季度威胁情报总结中涵盖了这些和其他来自世界各地的APT趋势。
上季度的三个月 APT 趋势总结是基于卡巴斯基的私人威胁情报研究和,涵盖了该公司研究人员认为企业部门应该注意的威胁领域的主要发展。
2020年第二季度,卡巴斯基研究人员注意到全球的 APT 组织在TTP(策略、技术和流程)方面出现了多种发展。最重要的改变由以下 APT 组织实施:
- Lazarus 组织一直是多年以来主要的威胁行为者之一,该组织现在正进一步投资于以获取经济利益为目的的攻击。除了进行网络间谍攻击和网络破坏外,该威胁行为者还攻击全球的银行和其他金融企业。本季度,卡巴斯基研究人员还发现 Lazarus 开始运营自己的勒索软件,使用一种被称为 MATA 的多平台框架来分发恶意软件——这对于 APT 组织来说,是一种非典型的活动。之前,Lazarus 还与臭名昭著的WannaCry攻击有关。
- CactusPete是一个说中文的威胁行为者,现在通常使用 ShadowPad。ShadowPad 是一个复杂的模块化的攻击平台,具备插件和功能多样化的模块。ShadowPad先前已部署在许多主要的网络攻击中,并且在不同的攻击案例中使用了不同的插件子集。
- MuddyWater APT 组织于2017年被发现,此后一直活跃于中东地区。2019 年,卡巴斯基研究人员报告了该 APT 组织针对中东地区电信公司和政府组织的攻击活动。卡巴斯基最近发现 Muddy Water 在新一轮攻击中使用了一种新的 C++ 工具链,该组织还利用名为Secure Socket Funneling的开源实用程序进行横向移动。
- HoneyMyte APT 对东南亚一家政府网站实施了水坑式攻击。这个水坑是在3月份建立的,似乎利用了白名单和社会工程技巧来感染目标。最终的有效载荷是一个简单的ZIP压缩包,其中包含一个“readme”文件,该文件会诱使受害者执行一个Cobalt Strike植入物。 用来执行Cobalt Strike的机制是DLL侧加载,它解密并执行了Cobalt Strike阶段程序shellcode。
- OceanLotus 是高级的 PhantomLance 移动攻击行动幕后的威胁行为者,该APT 组织自2019年下半年以来一直在使用其多阶段载入器的新变种。新变种使用他们预先获取到的有关目标主机的特定信息(用户名和主机名等),以确保最终的植入物能够部署到正确的受害者身上。该组织继续部署其后面植入物以及 Cobalt Strike Beacon,并利用更新后的基础设施配置它们。
“威胁领域并不总是充满“突破性”的事件,但是在过去几个月中,网络犯罪活动肯定没停止。我们看到,威胁组织继续投资改进其工具集,使攻击载体多样化,甚至转向新的类型的攻击目标。例如,使用移动植入物已不再是新鲜事。我们看到的另一个趋势是,一些APT组织(如BlueNoroff和Lazarus)转向获取经济利益。但是,地缘政治也仍然是许多威胁行为者发动攻击的重要动机,” 卡巴斯基全球研究和分析团队安全研究员Vicente Diaz评论说:“所有这些最新发展情况都突出了投资威胁情报的重要性。网络罪犯不会止步于他们已经取得的成就,而是会继续开发新的TTP(策略、技术和流程)——那些想要保护自己和组织免受攻击的人也应该这样做。”
第二季度的 APT 趋势报告总结了卡巴斯基订阅版威胁情报报告的发现,其中还包括感染迹象(IoC)数据和 YARA 规则,可以帮助进行取证分析和恶意软件追踪。更多详情,请联系:intelreports@kaspersky.com
为了避免成为已知或位置威胁行为者发动的针对性攻击的受害者,卡巴斯基研究人员建议采取以下措施:
- 为您的 SOC 团队提供对最新威胁情报(TI)的访问。卡巴斯基威胁情报门户网站是卡巴斯基威胁情报的一站式访问点,提供卡巴斯基20多年来收集的网络攻击数据和见解。用户可以免费使用一些功能,例如检查文件、URL地址和 IP 地址。请点击这里。
- 为了实现端点级别的保护,进行及时的事件调查和事故修复,请部署 EDR 解决方案,例如卡巴斯基端点检测和响应。
- 除了采用基础的端点保护外,还需要部署能够在早期阶段在网络层面检测高级威胁的企业级安全解决方案,例如卡巴斯基反针对性攻击平台。
- 由于很多针对性攻击都是通过网络钓鱼或其他社交工程技术开始的,所以需要引入安全意识培训并教导员工掌握实用的安全技巧,例如通过卡巴斯基自动化安全意识平台。
要阅读完整版第二季度 APT 趋势报告,请访问Securelist.com.
关于卡巴斯基
卡巴斯基是一家成立于1997年的全球网络安全公司。卡巴斯基不断将深度威胁情报和安全技术转化成最新的安全解决方案和服务,为全球的企业、关键基础设施、政府和消费者提供安全保护。公司提供全面的安全产品组合,包括领先的端点保护解决方案以及多种针对性的安全解决方案和服务,全面抵御复杂的和不断演化的数字威胁。全球有超过4亿用户使用卡巴斯基技术保护自己,我们还帮助全球270,000家企业客户保护最重要的东西。要了解更多详情,请访问www.kaspersky.com.
