2020年第三季度,卡巴斯基研究人员发现威胁行为者使用的通常攻击方法出现了分化——在使用看起来不显眼的感染载体和工具集进行有效的攻击行动的同时,还见证了世界各地的APT组织在战术、技术和程序(TTPs)方面的多种发展。
本季度最值得注意的一个发现是由一个身份不明的威胁行为者进行的一次攻击活动,攻击者使用一种定制的针对UEFI的bootkit来感染受害者。UEFI 是现代所有计算机设备的重要硬件组件。这种感染载体是一个被称为 MosaicRegressor的多阶段框架的一部分。UEFI的感染使植入在设备中的恶意软件异常持久且极难清除。最重要的是,恶意软件下载到每个受害者设备的有效载荷可能各不同——这种灵活的方法能够让攻击者在设备上隐藏其有效载荷,避免被他人发现。
其他威胁行为者则利用隐写术。在对欧洲一家电信公司的攻击中,在野外发现了一种滥用身份验证码签名的Windows Defender二进制文件的新方法,这是Windows Defender安全解决方案的一个完整的、经过批准的程序。一个正在进行的据称是来自 Ke3chang 发起的攻击行动使用了一种新版的 Okrum 后面程序。这个更新后的 Okrum 后门程序通过采用独特的侧面加载技术来滥用Authenticode签名的Windows Defender二进制文件。攻击者利用隐写术在Defender可执行文件中隐藏主要的有效载荷,同时保持其数字签名的有效性,以降低被检测到的机会。
许多其他威胁行为者也继续更新其工具集,让自身变得更为灵活,同时不易被检测到。各种多阶段框架,例如MuddyWater APT小组开发的框架,继续在野外出现。这种趋势也适用于其他恶意软件——例如Dtrack RAT(远程访问工具),它更新了一个新功能,使攻击者能够执行更多类型的有效载荷。
但是,有些威胁行为者仍然成功地使用低技术含量的感染链。例如卡巴斯基研究人员命名为 DeathStalker 的雇佣兵威胁组织。该 APT 主要攻击金融行业的律师事务所和公司,从受害者那里收集敏感和有价值的信息。他们使用的技术自2008年以来,几乎没有变化,他们专注于躲避检测,使得 DeathStalker 能够继续进行许多成功的攻击。
“有些威胁行为者一直保持不变,只是利用热门话题(例如COVID-19)来引诱受害者下载恶意附件,另一些威胁组织则重新改造他们自己和他们的工具集。过去一个季度,我们见证了被攻击的平台范围不断扩大,攻击者不断致力于新的感染链,并将合法服务作为其攻击基础设施的一部分。整体来看,这对网络安全专家而言意味着以下几点:防御者需要投入资源在新的、可能是合法的环境中寻找恶意活动,这些环境在过去受到的审查很少。这包括用不太知名的编程语言编写的恶意软件以及通过合法云服务发起的攻击。通过跟踪威胁行为者的活动和TTP(策略、技术和流程),我们可以跟踪他们所采用的新技术和工具,从而为及时应对新的攻击做好准备,”卡巴斯基全球研究和分析团队高级安全研究员 Ariel Jungheit 评论说。
上季度三个月的APT趋势概要总结了仅面向卡巴斯基威胁情报报告订阅用户的报告中的发现,还汇集了其他涵盖企业部门应该注意的重大发展的信息来源。卡巴斯基的威胁情报报告还包括 “感染迹象”(IoC)数据,以及协助取证和恶意软件追踪的Yara和Suricata规则。更多详细信息,请联系:intelreports@kaspersky.com
为了避免成为已知或未知的威胁行为者发起的针对性攻击的受害者,卡巴斯基研究人员建议采取以下措施:
- 为您的 SOC 团队提供对最新威胁情报(TI)的访问。卡巴斯基威胁情报门户网站是卡巴斯基威胁情报的一站式访问点,提供卡巴斯基超过20年来收集的网络攻击数据以及见解。您可以通过这里免费访问其精选功能,可以让用户检查文件、URL以及IP地址。
- 为了获得端点级别的检测和及时的事件调查和修复,请保护署 EDR 解决方案,例如卡巴斯基端点检测和响应。
- 除了部署基础端点保护外,还要部署能够在早期阶段在网络层面检测高级威胁的企业级安全解决方案,例如卡巴斯基反针对性攻击平台。
要阅读完整版第三季度APT趋势报告,请访问Securelist.com.
关于卡巴斯基
卡巴斯基是一家成立于1997年的全球网络安全公司。卡巴斯基不断将深度威胁情报和安全技术转化成最新的安全解决方案和服务,为全球的企业、关键基础设施、政府和消费者提供安全保护。公司提供全面的安全产品组合,包括领先的端点保护解决方案以及多种针对性的安全解决方案和服务,全面抵御复杂的和不断演化的数字威胁。全球有超过4亿用户使用卡巴斯基技术保护自己,我们还帮助全球250,000家企业客户保护最重要的东西。要了解更多详情,请访问www.kaspersky.com.
