2020年第一季度APT趋势报告

卡巴斯基全球研究与分析团队（GReAT）两年多来一直在发布APT活动季度趋势报告，以下是在2020年第一季度观察到的活动。

COVID-19 APT活动

自世界卫生组织（WHO）宣布COVID-19为大流行病以来，攻击者越来越关注COVID-19。许多网络钓鱼诈骗试图利用人们对病毒的恐惧来牟取暴利。攻击者中还包括APT组织，例如Kimsuky，APT27，Lazarus或ViciousPanda等。最近还发现了可疑的基础设施，可用于针对包括WHO在内的卫生和人道主义组织。

关键活动发现

2020年1月，发现了一个利用了完整iOS漏洞的水坑，网站内容针对香港的用户。攻击者正在积极改进漏洞利用工具，以针对更多的iOS版本和设备。它支持Android植入，并且可能支持Windows，Linux和MacOS植入。目前将此APT组称为TwoSail Junk，它主要利用香港基础设施，并在新加坡和上海设有主机。 迄今为止，香港有数十次访问记录，其中有两个来自澳门。

俄语区活动

1月，在一家东欧电信公司中发现了几个最近编译的SPLM / XAgent模块。最初攻击切入店还未找到，在该组织内的横向扩展也没有彻底搞清楚，该网络的某些部分可能已经感染了一段时间。除了这些SPLM模块之外，Sofacy还部署了.NET XTUNNEL变体及其加载程序。与过去的XTUNNEL样本（1-2MB）相比，这些20KB的XTUNNEL样本体积大幅减少。

Gamaredon从2013年开始活跃，专注于乌克兰相关目标。近几个月来，攻击者通过远程模板注入发送恶意文档，并利用了多级感染方案部署恶意程序，该加载程序会定期与远程C2联系来下载其他样本。根据过去的研究，Gamaredon工具包包含为不同目标开发的软件产品，包括扫描驱动器中的特定系统文件，捕获屏幕快照，执行远程命令，下载文件以及使用UltraVNC等程序管理远程计算机。此次观察到了一个新的第二阶段有效载荷，称之为“ Aversome”。

中文区活动

CactusPete从2012年开始活跃，其目标是韩国，日本，美国和台湾等国家/地区组织。在2019年底，该组织更加关注蒙古和俄罗斯组织。 CactusPete根据俄蒙商业和边境关系对俄罗斯国防工业和蒙古政府进行攻击。该小组技术变化，目标转移和扩展表明其资源和运营发生了变化。

自2018年以来，Rancor专注于东南亚目标，即柬埔寨，越南和新加坡。该小组在过去几个月中更新了恶意软件，发现了ExDudell的Dudell的新变种，可用于绕过UAC的新工具以及用于攻击的新基础设施。除此之外还确定了初始诱饵文档，表明该小组正在改变其传播方式。

2019年检测到一个未知组织的活动，主要在藏语网站上部署水坑，欺骗受害者安装托管在GitHub上的假Adobe Flash更新。该组织工具集一直在发展，利用了Sojson混淆，NSIS安装程序，Python，开源代码，GitHub，Go语言以及Google Drive C2通道。

中东活动

2020年2月检测到了针对土耳其的新的攻击活动。StrongPity的TTP在目标，基础设施和感染媒介方面没有改变。此活动中，StrongPity更新了后门签名，添加了更多常见的文件目录列表，包括Dagesh Pro处理器文件，RiverCAD文件，纯文本文件，GPG加密文件和PGP密钥。

3月发现了Milum木马，可对目标组织中的设备进行远程控制，将其称为WildPressure。活动可以追溯到2019年8月。到目前为止，Milum与任何已知的APT活动没有任何代码相似性。该恶意软件可对受感染设备远程控制，下载和执行命令，收集信息以及软件升级。

2019年12月下旬检测到Zerozeroe新变体Dustman，该变体针对沙特***能源部门。它与Zerocleare相似，但是变量和技术名称发生变化，表明攻击者已经准备好新一波的攻击。

东南亚和朝鲜半岛

通过Telsy在2019年11月发布的关于Lazarus活动报告发现了加密货币组织活动迹象。 Telsy提到的恶意软件是第一阶段下载程序，近期发现的第二阶段恶意软件是Manuscrypt的变体，它部署了两种类型的有效负载。第一个是可操纵的Ultra VNC程序，第二个是多级后门程序。Lazarus攻击了Cyprus，美国，台湾和香港的加密货币业务，攻击活动一直持续到2020年初。

Kimsuky在2019年尤其活跃。最近发现其使用以新年问候为主题的诱饵图像，该图像可下载下一阶段有效载荷，利用新的加密方法来窃取信息。

1月底发现了利用Internet Explorer漏洞（CVE-2019-1367）的恶意脚本。DarkHotel策划了此活动，该活动自2018年以来一直在进行。DarkHotel利用自制软件对目标进行渗透。最初会创建一个下载程序，下载其他程序并收集系统信息 。此次活动中，其主要目标是韩国和日本。

3月Google研究人员透露，某黑客组织在2019年使用了五个零日漏洞攻击朝鲜目标。该组织在邮件中包含恶意附件或链接，利用了Internet Explorer，Chrome和Windows的漏洞。其中IE中的一个漏洞和Windows中的一个漏洞可与DarkHotel匹配。

FunnyDream于2018年针对马来西亚，台湾和菲律宾进行攻击，其中大多数受害者来自越南。攻击者从C2下载和上传文件，在受害者机器中执行命令并运行新进程，收集其他主机信息，并远程将恶意软件传递给新主机。攻击者还使用了RTL后门和Chinoxy后门。自2018年年中以来，其C2基础设施一直处于活跃状态。

AppleJeus首次针对macOS目标。一月份的研究显示，该组织的攻击方法发生了重大变化：自制macOS恶意软件和身份验证机制，传递下一阶段的有效负载，在不落盘情况下加载下一阶段有效负载。为了攻击Windows，该组织制定了多阶段感染程序并更改了最终有效载荷。在英国，波兰，俄罗斯和中国确定了几名受害者。

Roaming Mantis于2017年首次报道，该小组的活动范围已明显扩展，支持27种语言，以iOS和Android为目标，挖掘加密货币。攻击者向其武器库中添加了新的恶意软件，包括Fakecop和Wroba.j。

其他发现

TransparentTribe于2019年初开始使用USBWorm模块，并对CrimsonRAT工具进行了改进。USBWorm被用来感染成千上万的受害者，大多数位于阿富汗和印度，攻击者能够下载和执行任意文件，从受感染的主机窃取文件。该小组主要关注军事目标，目标通常被恶意VBA、Peppy RAT和CrimsonRAT等开源恶意软件攻击。

在2019年的最后几个月中，发现Fishing Elephant正在进行的攻击活动。该小组使用Heroku和Dropbox来传播AresRAT。该组织的目标是土耳其，巴基斯坦，孟加拉国，乌克兰和中国的政府和外交组织。

总结思考

从APT活动中可以明显看出，CactusPete，LightSpy，Rancor，Holy Water，TwoSail Junk等其他组织，地缘政治是APT活动的重要推动力。Lazarus和Roaming Mantis证明经济利益仍然是某些攻击者的动机。

就APT活动而言，东南亚是最活跃的地区，包括Lazarus，DarkHotel和Kimsuky等，以及Cloud Snooper和Fishing Elephant等新兴组织。CactusPete，TwoSail Junk，FunnyDream和DarkHotel，继续利用软件漏洞。APT组织正在利用COVID-19。

总而言之，亚洲活动的持续增长，传统的APT组织对目标越来越挑剔，传播方式和技术发生变化，使用移动平台传播恶意软件的趋势正在上升。

*参考来源：securelist，由Kriston编译，转载请注明来自FreeBuf.COM

转载请注明来自网盾网络安全培训，本文标题：《2020年第一季度APT趋势报告》

标签：报告apt2020年第一季度