卡巴斯基研究人员发现这种last-stager(攻击的最后阶段,即恶意有效载荷被下载,并开始在受害者设备上执行命令)正在利用一种新的编码风格--使用类似API(应用程序编程接口)的架构来简化恶意软件的更新。
多年前,卡巴斯基研究人员发现SixLittleMonkeys(又名Microcin)网络威胁组织使用一个后门程序对政府机构进行攻击。此外,该组织还通过使用隐写技术(一种隐蔽格式发送数据的过程,这样就没有人知道任何数据被下载或更新)掩盖其恶意活动。这使得反病毒产品更难检测到其恶意有效载荷。
今年2月,我们发现SixLittleMonkeys网络威胁组织参与到针对一家外交实体的攻击行动中,他们很大程度上使用了相同的工具和风格——隐写技术和库搜索顺序劫持。但是,他们也向前迈出了重要的一步:在攻击的last-stager(最后阶段),他们应用了企业式编程技术。
API(应用程序编程接口)能够让开发人员通过构建未来程序的模块,从而更快和更轻松地构建应用程序,不必从头开始编写代码。对于恶意软件,API可以增加一层额外的效率。可以更快地对恶意软件进行更新或更改。
SixLittleMonkeys的“last-stager” 导出的类似API的函数利用了两个回调参数(这些函数稍后会被回调):指向加密器和记录器函数的指针。前者负责C2(控制服务器)通信和配置数据的加密/解密。后者将恶意软件的操作历史保存入文件中。通过这种方法,恶意软件作者能够更轻松地更改加密算法或通过其他通信渠道重定向记录器。
Microcin的最新活动中,另一个新动向是使用套接字的异步工作。在这种情况下,套接字是用于与控制服务器进行网络通信的实体。 因为它们是异步的,所以一个操作不会阻止其他操作,这意味着所有命令都已执行。
“这种使用类似于企业级API的编程风格在恶意软件中相当罕见,即使是在涉及针对性的攻击行动中。这表明网络威胁组织在软件开发方面具有丰富的经验,复杂性也有所增加。通过在新的网络模块中使用回调参数,使得恶意软件更新和支持变得更容易了,”卡巴斯基资深安全研究员 Denis Legezo 评论说。
更多有关SixLittleMonkeys的最新活动情况,请访问Securelist.
要确保安全,远离诸如SixLittleMonkeys等APT组织发动的攻击,卡巴斯基专家建议:
为您的安全运营中心(SOC)团队提供对最新威胁情报的访问,让他们了解威胁行为者以及网络罪犯使用的最新工具、技术和策略。
为了获得端点级别的检测以及及时调查和事故修复,请部署EDR解决方案,例如卡巴斯基端点检测和响应。
除了采取基础的端点保护措施外,请部署能够在早期阶段在网络层面检测高级威胁的企业级安全解决方案,例如卡巴斯基反{start-jodit-selection}针对性攻击平台。
为员工进行基础的网络安全卫生培训,因为很多针对性攻击都是从网络钓鱼或其他社交工程技巧开始的。进行模拟的钓鱼攻击,确保员工知道如何识别钓鱼邮件。
关于卡巴斯基
卡巴斯基是一家成立于1997年的全球网络安全公司。卡巴斯基不断将深度威胁情报和安全技术转化成最新的安全解决方案和服务,为全球的企业、关键基础设施、政府和消费者提供安全保护。公司提供全面的安全产品组合,包括领先的端点保护解决方案以及多种针对性的安全解决方案和服务,全面抵御复杂的和不断演化的数字威胁。全球有超过4亿用户使用卡巴斯基技术保护自己,我们还帮助全球250,000家企业客户保护最重要的东西。要了解更多详情,请访问www.kaspersky.com.
