在调查一种未知的高级可持续威胁(APT)时,卡巴斯基研究人员发现一种新的恶意软件,该恶意软件包含几个重要的属性,可能与DarkHalo——即Sunburst攻击背后的威胁行为者有关。Sunburst攻击被认为是近几年影响最大的供应链安全事件之一
在调查一种未知的高级可持续威胁(APT)时,卡巴斯基研究人员发现一种新的恶意软件,该恶意软件包含几个重要的属性,可能与DarkHalo——即Sunburst攻击背后的威胁行为者有关。Sunburst攻击被认为是近几年影响最大的供应链安全事件之一。
Sunburst安全事件在2020年12月登上新闻头条。DarkHalo威胁行为者入侵了一家使用广泛的企业软件供应商,并在很长一段时间内利用其基础设施以合法软件更新的名义分发间谍软件。在媒体曝光之后,安全社区对这种威胁进行了广泛的搜索,其行为者似乎隐藏起来。在Sunburst事件之后,没有发现与该威胁行为者相关的重大安全事件——DarkHalo APT似乎已经下线。但是,卡巴斯基全球研究和分析团队最近的研究结果显示,情况可能并非如此。
2021年6月,在DarkHalo消失超过6个月之后,卡巴斯基研究人员发现了针对同一国家多个政府组织的DNS劫持攻击成功的迹象。DNS劫持是一种恶意攻击,其中域名(用于连接网站的URL地址和网站所在服务器的IP地址)被修改,将网络流量重定向至攻击者控制的服务器。在卡巴斯基发现的案例中,被攻击目标想要访问一个企业邮箱服务的网页界面,但是被重定向到一个假冒的网页界面,然后被诱骗下载恶意软件更新。顺着攻击者的路径,卡巴斯基研究人员获取到其所谓的“更新”,发现它会部署一种之前未知的后门程序:Tomiris。
进一步分析显示,这个后门程序的主要目的是在被攻击的系统中建立一个立足点,并下载其他恶意组件。不幸的是,后者在调查期间没有被发现;但是,也获得了一个重要的观察结果:Tomiris后面程序很可疑,原来跟Sunshutttle很相似,而Sunshuttle则是臭名昭著的Sunburst攻击所部署的恶意软件。
相似之处包括但不限于以下内容:
- 与Sunshuttle一样,Tomiris是使用Go编程语言开发的
- 每个后门程序都使用单一的加密/混淆方案,对配置和网络流量进行编码
- 两者都依靠计划任务来实现持久性,使用随机性和休眠延迟来隐藏它们的活动
- 两个程序的整体工作流程,特别是功能分配的方式看起来很相似,卡巴斯基分析人员认为这表明它们使用了相同的开发实践
- 在 Tomiris ('isRunned') 和 Sunshuttle ('EXECED' 而不是 'executed') 字符串中都发现了英文错误,这表明这两个恶意程序都是由母语不是英语的人开发的——人们普遍认为DarkHalo的开发者是说俄语的
- 最后,在其他机器感染Kazuar的网络中发现了Tomiris后门——该后门因其代码与Sunburst后门重叠而闻名
“单独来看,这些项目都不足以将Tomiris和Sunshuttle联系起来。我们坦率地承认,其中一些数据点可能是偶然的,但我们仍然认为,综合起来看,它们至少表明这两个恶意程序存在共同作者或共同开发实践的可能,”卡巴斯基安全研究员Pierre Delcher表示。
“如果我们关于Tomiris和Sunshuttle之间有联系的猜测是正确的,它将为威胁行为者在被抓获后重建能力的方式提供新的线索。我们想鼓励威胁情报界重现这项研究,并对我们在Sunshuttle和Tomiris之间发现的相似之处提供第二种意见,”卡巴斯基安全研究员Ivan Kwiatkowski补充说。
要阅读有关Tomiris和Sunburst攻击之间的联系详情,请访问Securelist.com上的相关博文。
关于卡巴斯基
卡巴斯基是一家成立于1997年的全球网络安全和数字隐私公司。卡巴斯基不断将深度威胁情报和安全技术转化成最新的安全解决方案和服务,为全球的企业、关键基础设施、政府和消费者提供安全保护。公司提供全面的安全产品组合,包括领先的端点保护解决方案以及多种针对性的安全解决方案和服务,全面抵御复杂的和不断演化的数字威胁。全球有超过4亿用户使用卡巴斯基技术保护自己,我们还帮助全球240,000家企业客户保护最重要的东西。要了解更多详情,请访问www.kaspersky.com.
