卡巴斯基实验室:2020Q1 IT威胁趋势报告

发布于
    一、有针对性的攻击和恶意软件活动
1.1 AppleJeus恶意活动的后续
在2018年,我们发布了关于AppleJeus恶意活动的报告,这是威胁参与者Lazarus最为著名的恶意活动之一。Lazarus是一个目前最为活跃和最为多产的APT团伙,而此次恶意活动是该团伙首次针对macOS目标发动攻击。在此次攻击中,攻击者虚构了一家不存在的公司,并以该公司的名义制作应用程序,以获取潜在受害者的高度信任。
经过我们的后续研究,发现该恶意组织的攻击方法发生了较大的变化。为了攻击macOS的受害者,Lazarus开发了自制的macOS恶意软件,并添加了一系列身份验证机制,从而以非常谨慎的方式交付下一阶段的Payload。此外,为了对Windows受害者发动攻击,该恶意组织编写了一个多阶段的感染程序,并对最终的Payload进行了大幅度的修改。我们相信,自AppleJeus恶意活动开始以来,Lazarus采取了更加谨慎的攻击模式,并使用了多种手段避免其被发现。
在英国、波兰、俄罗斯和中国,我们发现了一些遭受攻击的受害者,并将其纳入到我们正在开展的研究之中。此外,我们还确认到一些受害者是与加密货币业务组织相关。
1.2 Roaming Mantis转向短信钓鱼并加强反分析技术
我们持续追踪Roaming Mantis的恶意活动。该威胁行为者最早在2017年被发现,当时使用短信的方式将恶意软件尝试分发到某个特定国家(韩国)的Android设备上。但从那时开始,该恶意组织的活动范围逐渐扩大。目前,Roaming Mantis已经支持27种语言,同时针对iOS和Android,并在其武器库中加入了针对计算机的加密货币挖掘机制。
Roaming Mantis还增加了新的恶意软件家族,包括Fakecop和Wroba.j。该攻击组织仍然非常活跃地使用短信钓鱼的方式进行Android恶意软件分发。这非常令人震惊,因为这意味着攻击者可以将受感染的移动设备组合成一个僵尸网络,以进行恶意软件传递、短信钓鱼等进一步的攻击活动。该恶意组织使用了一个最新的手法,他们在恶意APK文件上使用知名快递公司品牌的LOGO,同时这个LOGO是针对不同地理位置而定制的,例如在日本使用Sagawa Express和Yamato Transport,在台湾使用FedEx,在韩国使用CJ Logistics,在俄罗斯使用Econt Express等。
1.3 WildPressure针对中东工业网络发动攻击
在3月,我们报道过一起有针对性的恶意活动,用于分发Milum,这是一种用于对目标组织中设备进行远程控制的木马,其中一些遭受攻击的目标属于工业部门。我们在2019年8月发现了该恶意活动的迹象,并将其命名为WildPressure,直到目前该恶意活动仍然活跃。
到目前为止,我们看到的Milum样本暂时无法与任何已知的APT活动关联起来,不具有任何代码相似性。这些样本都可以导致攻击者远程控制受感染的设备,使其下载并执行命令,同时从受感染计算机中收集信息,然后将其发送到C2服务器,并安装对恶意软件的升级。
针对工业目标的攻击活动可能尤其具有破坏性。到目前为止,我们还没有证据表明WildPressure背后的威胁行为者除了会从受感染的设备收集数据外还采取了任何操作。但是,该恶意活动目前仍然在开发中,因此我们不知道以后可能还会添加哪些其他功能。
为了避免遭到此类攻击或其他针对性攻击,组织应该执行以下操作:
1、定期更新所有软件,特别是在有新补丁发布时应进行及时更新。
2、部署可靠的安全解决方案,例如Kaspersky Endpoint Security,该解决方案配备了基于行为的保护措施,可以防御已知威胁和未知威胁(包括漏洞利用)。
3、在终端保护方面,使用企业级安全解决方案,例如Kaspersky Anti Targeted Attack Platform,该解决方案可以检测针对网络的高级威胁。
4、确保员工了解攻击者使用的社会工程手段和其他方法,在组织内部发展安全文化。
5、为安全团队提供全面的网络威胁情报,例如Kaspersky APT Intelligence Reporting。
1.4 TwoSail Junk的恶意活动
1月10日,我们发现了一个水坑攻击活动,该恶意活动中利用了完整的远程iOS漏洞利用链,部署了功能丰富的植入工具LightSpy。从目标网页的内容来看,该网站似乎是针对香港的用户设计的。
当时,我们在LightSpy上发布了两篇私人报告,我们暂时将这一恶意活动背后的APT组织称为TwoSail Junk。而现在,我们根据已知的后门回调和恶意软件基础结构,获得了一些线索,可以将该恶意活动与此前的活动进行聚类。我们还与其他研究人员展开合作,将LightSpy与一个知名的中国APT组织的先前活动联系起来,该恶意组织此前被称为Spring Dragon(又名为Lotus Blossom、Billburg),以Lotus Elise和Evora后门而知名。
由于LightSpy恶意活动是由趋势科技的研究人员公开披露的,因此我们希望能够补充一些缺失的细节信息。此外,出于发展防护技术的目的,我们将该恶意软件和恶意活动的详情报告给了Apple与其他相关公司。
在我们的报告中,包含有关Android植入程序地信息,包括其部署、传播和基础架构信息。
1.5 针对亚洲地区的Holy Water
去年12月,我们发现了一些水坑攻击的网站,这些网站被伪装成带有虚假Adobe Flash更新警告的站点,会有选择地触发下载恶意软件。
这项恶意活动至少从2019年5月开始就在持续进行,其目标是一个亚洲宗教和族裔群体。威胁行为者最开始使用一个简单而富有创造力的工具集,随着时间的推移进行了大幅的改进,并且目前可能仍然在开发中。该工具集利用了Sojson混淆、NSIS安装程序、Python语言、开源代码、GitHub发行版本、Go语言和基于Google Drive的C2通道。
威胁行为者的目标尚不清楚,因为我们暂无法观察到他们实时的活动。此外,我们也暂未发现该威胁行为者与已知APT组织的任何重合。
1.6 使用Bitscout进行威胁狩猎
Kaspersky全球研究与分析团队的Vitaly Kamluk在2月报告了基于即将发布的Ubuntu 20.04的Bitscount的新版本,该版本计划在2020年4月发布。
Bitscout是一种远程数字取证工具,大约两年半前,当Vitaly位于国际刑警组织的数字取证实验室时,我们将其进行了开源。
Bitscout帮助我们开展了许多网上调查。它是基于广受欢迎的Ubuntu Linux发行版本,结合了由众多优秀开发人员创建的取证和恶意软件分析工具。
下面是我们在Bitscout中使用的方法概述:
1、Bitscout是完全免费的,因此减少了取证所需的预算。
2、该工具设计为可远程工作,节省了时间和金钱,当然我们也可以在本地使用相同的技术。
3、真正的价值并不在于工具包本身,而是在于其中所包含的所有取证工具的强大功能。
4、要掌握Bitscout,需要一个比较困难的学习过程,最终将巩固我们成为专家的技术基础。
5、该工具是完全开源的,因为我们无需等待厂商来实现功能或应用补丁,我们可以自由地进行逆向工程,或者修改其中的任何部分。
目前,我们创建了一个项目网站,是bitscout-forensics.info,可以作为使用Bitscout的技术人员的参考站点。
1.7 使用YARA狩猎APT组织
近年来,我们已经在安全培训会议期间开展了培训课程“Hunting APTs with YARA like a GReAT ninja”,在课程中分享了我们将YARA用作威胁狩猎的知识和经验。但是,由于COVID-19的大流行,迫使我们推迟了即将推出的SAS。
同时,我们收到了许多想要获得YARA实践培训的需求。我们也正在努力,希望能够尽快提供在线培训的体验。大家也可以在Twitter上关注我们(@craiu、@kaspersky)以获取最新消息。
如今,有大量人们在家工作,或者在网上花费更多的时间,因此威胁和攻击的数量也会有所增加。所以,我们决定分享我们近年来积累的一些YARA经验,希望能有助于大家抵御威胁。
如果大家无法参与3月31日的在线演示,可以在这里找到录音。
我们持续跟踪数百名APT威胁参与者的动态,并定期在这份报告中介绍关键发现。如果大家想要了解更多信息,欢迎与我们联系(intelreports@kaspersky.com)。
    二、其他安全新闻
2.1 Shlayer木马攻击macOS用户
尽管许多人认为macOS是安全的,但仍有一些网络犯罪分子试图对使用mac系统的用户发动攻击,而其中一个典型的恶意程序就是Shlayer木马。在2019年,Kaspersky macOS产品在近十分之一的设备上发现并阻止了该木马,这种木马对于macOS用户来说是一个比较广泛的威胁。
Shlayer是一个智能的恶意软件分发系统,可以通过合作伙伴网络、娱乐网站甚至Wikipedia进行传播。该木马专门进行广告软件的安装,这些程序可以向受害者提供非法广告、拦截并收集浏览器查询记录、修改搜索结果以分发更多广告信息。
在去年1月到11月之间,Shlayer几乎占据了Kaspersky产品监测到的macOS设备攻击的三分之一。在macOS威胁前十名的榜单中,几乎都是利用Shlayer安装的广告软件程序。
感染过程开始于不知情的受害者下载恶意程序。Shlayer背后的犯罪分子建立了一个恶意软件分发系统,该系统包含许多通道,可以引导受害者下载恶意软件。Shlayer依靠于许多合作伙伴计划的网站,对于美国用户进行的每次恶意软件安装,幕后的攻击者都会向合作伙伴支付较高的报酬,从而促使有1000多个“合作伙伴站点”帮忙分发Shlayer。这个方案的工作流程如下:用户在网上查找电视连续剧或足球比赛,广告页面将其重定向到伪造的Flash Player更新页面。受害者从该页面下载恶意软件,对于每次安装,分发都将会指向该恶意软件的合作伙伴,从而使其得到按安装次数来计算的对应费用。
我们还看到攻击者使用其他方案,诱导用户访问伪造的Adobe Flash更新页面,该页面将受害者从具有数百万用户的各种大型在线服务中重定向,其中包括YouTube(视频描述中包含指向恶意网站的链接)和Wikipedia(在文章参考中隐藏此类恶意链接)。如果用户单击这些链接,也将会被重定向到Shlayer下载登录页面。Kaspersky研究人员发现700个包含恶意内容的域名,并且发现在各种合法网站上可以链接到这些域名。
几乎所有包含虚假Flash Player的网站都包含英文内容,这也直接对应了我们监测到感染最多的国家,即美国(31%)、德国(14%)、法国(10%)和英国(10%)。
2.2 真正意义上的病毒
尽管很多人仍然在使用“病毒”一词来表示所有的恶意程序,但实际上从严格意义上讲,它是指在同一台计算机上从一个文件复制到另一个文件的恶意代码。在以前,病毒实际上占据着网络威胁的主导地位,但现在却越来越少见。但是,这样的趋势却发生了一些有趣的例外,我们在最近发现了一类病毒,这是近一段时间以来我们在野外看到的第一种真正的病毒。
这种被称为KBOT的病毒会通过互联网、本地网络或受感染的外部媒体感染受害者的计算机。在启动受感染的文件之后,恶意软件会在系统中立足,将自身写入启动项和任务计划程序,然后部署网络注入,以尝试窃取受害者的银行和个人数据。KBOT还可以下载其他窃取程序模块,以获取有关受害者的全面信息,并将其发送给命令与控制(C2)服务器,其中包括密码/登录名、加密钱包数据、文件列表、已安装的应用程序等等。该恶意软件将所有文件和窃取到的数据存储在虚拟文件系统中,并使用RC6算法进行加密,以使其难以检测。
2.3 网络犯罪分子利用人们对数据泄露的恐惧
网络钓鱼者一直在寻找可以用来吸引受害者的热门话题,包括体育、政治、爱情、购物、银行、自然灾害以及可能诱使用户单击链接或恶意文件附件的任何其他内容。
最近,网络犯罪分子利用数据泄露这一主题来试图诱使人们点击。如今,数据泄露以及因未能保护数据而遭受的罚款已经成为新闻中的一个热点事件。诈骗者冒充一个名为“个人数据保护基金会”的组织,生成美国贸易委员会已经设立了一个基金,用于赔偿给个人数据遭到泄露的人士。
但是,为了获得赔偿,受害者被要求提供社会保险号。同时,犯罪分子还宣称会向没有社会保险号的人士出售临时的社会保险号码。
即使潜在受害者输入了有效的社会保险号码,他们仍然会被引导到一个网页,要求购买临时的社会保险号码。
2.4 新冠病毒
鱼饵越大,潜在受害者的人数就越多。因此,网络犯罪分子积极利用最热门的新冠肺炎大流行话题就也不足为奇了。目前,我们发现有恶意PDF、MP4和DOCX文件伪装成有关冠状病毒的信息。这些文件的名称中暗示它们包含有关如何保护自身、威胁更新甚至病毒检测过程的视频说明。实际上,这些文件可以导致对数据的破坏、组织、修改或复制,并且可能会干扰计算机的正常运行。
Ginp银行木马背后的网络犯罪分子最近发起了一个与COVID-19相关的新型恶意活动。在收到特殊命令后,木马程序会打开一个名为Coronavirus Finder的网页。该网页上提供了一个简单的页面,该界面声称可以显示附近感染病毒的人数,要求用户支付少量费用以查看位置。
然后,木马提供了一个付款的表单。
在此之后,除了犯罪分子得到你的付款之外,不会提供任何服务。根据我们网络安全数据表明,大多数遭遇Ginp攻击的用户都是位于西班牙。然而,这是Ginp的新版本,标记为“flash-2”,而先前的版本标记为“flash-es12”。因此,较新版本的标签中缺少了“es”字样,可能表明网络犯罪分子正打算将活动范围扩展到西班牙之外。
我们还发现了许多网络钓鱼诈骗,网络犯罪分子冒充一些可靠的组织,诱导人们单击指向伪造网站的链接,在该网站上,诈骗者收集了他们的个人信息,甚至要求他们进行捐款。
如果大家想要了解为什么网络钓鱼攻击者可以轻松创建欺骗性的电子邮件,以及为了防护此类攻击可以开展哪些努力,大家可以在这里找到有关问题和解决方案的详细描述。
网络犯罪分子还趁机攻击医疗设施的信息基础设施,希望趁着IT服务超负荷的阶段,能有机会攻入医院网络,或者有机会向临床研究公司勒索金钱。为了确保医疗团队免于担忧IT风险,我们向医疗机构提供了六个月的免费许可证书,可以使用我们的核心解决方案。
2.5 AZORult恶意活动滥用流行的VPN服务窃取加密货币
在2月,我们报道了一次不寻常的恶意软件活动,网络犯罪分子借助虚假的ProtonVPN安装程序来传播AZORult Trojan木马。
该恶意活动的目的是从受害者那里窃取个人信息和加密货币。
攻击者创建了一个伪造的VPN服务网站,该网站看上去非常像原始网站,但域名有所不同。犯罪分子使用不同的Banner,通过广告的方式吸引用户访问该站点,这种做法被称为“恶意广告”。当有人访问网络钓鱼网站时,系统会提醒他们下载Windows的免费VPN安装程序。一旦下载并运行该程序,将会投放AZORult僵尸网络植入程序的副本,将会收集受感染设备的环境信息,并将其发送到服务器。最后,攻击者从本地可用的钱包(Electrum、Bitcoin、Etherium等)中窃取加密货币、FTP登录名、FileZilla的密码、电子邮件凭据、本地安装的浏览器信息(包括Cookie)、WinSCP凭据、Pidgin Messenger和其他内容。
AZORult具有非常丰富的功能,是俄罗斯地下论坛中最常交易的窃取软件之一。该木马可以收集大量数据,包括浏览器历史记录、登录凭据、Cookie、文件和加密钱包文件,并且还可以作为下载其他恶意软件的加载程序。
    三、以安全证书作为幌子分发恶意软件
以合法软件更新作为幌子分发恶意软件的这种套路并不新鲜。通常,网络犯罪分子会诱导潜在受害者安装浏览器或Adobe Flash Player的新版本。但是,最近我们发现了一种新方法:攻击者告知被感染站点的访问者,通知其安全证书已经过期。
攻击者向其提供了感染恶意软件的更新程序,实际上是Buerak下载程序和Mokes后门。
我们检测到感染的网站涵盖了各种主题,从动物园网站到汽车配件售卖的网站。我们发现的最早感染可以追溯到1月16日。
3.1 移动恶意软件发送恶意消息
我们已经发现,有许多移动恶意软件应用程序都进行了自我改进,随着时间的推移增加了新的功能层。Faketoken木马就是一个很好的例子。在过去的六年中,它已经从用于捕获一次性密码的应用程序发展为成熟的移动银行特洛伊木马,随后又发展成为勒索软件。到2017年,Faketoken已经能够模仿许多不同的应用程序,包括移动银行应用程序、电子钱包、出租车服务应用程序以及用于支付罚款的应用程序,而上述所有这些都是为了窃取银行帐户数据。
最近,我们发现有5000台Android手机因感染Faketoken而发出了一些恶意短信。短信功能是许多移动恶意软件应用程序中的标准功能,其中的一些恶意软件会向受害者的联系人发送链接以实现传播。银行木马通常会尝试使自身称为默认的短信应用程序,从而拦截一次性密码。但是,我们还没有发现大范围流行的此类恶意软件。
Faketoken发送的消息将会向设备所有者收取费用。并且,由于许多受感染的智能手机都会向国外的号码发送短信,因此可能会产生较高的费用。在发送任何信息之前,木马会首先检查受害者的银行帐户中是否有充足的金额。如果有,Faketoken将首先进行充值操作。
我们尚不清楚这是一次恶意活动还是某种攻击趋势的开始。为避免遭受到Faketoken的攻击,建议用户仅从Google Play下载应用程序,不从其他来源下载应用,不要点击短信息中的可疑或陌生链接,同时可以选用良好信誉的移动安全产品来保护设备。
3.2 Android AccessibilityService的使用和滥用
在1月,我们在报告中提到,网络犯罪分子正在使用恶意软件来提高特定应用程序的评级,从而增加潜在覆盖用户的数量。
Shopper.a木马还可以在受感染的设备上显示广告消息、创造指向广告站点的快捷方式等。
特洛伊木马打开Google Play(或其他应用商店),安装多个程序,并撰写关于它们的虚假用户评论。为了防止受害者注意到,特洛伊木马会将安装窗口隐藏在“不可见”的窗口后面。Shopper.a使用Android AccessibilityService为其自身提供必要的权限。该功能的初衷在于帮助残疾人使用智能手机,但如果恶意应用程序获得了使用许可,则该恶意软件几乎可以与系统界面和应用进行交互,包括拦截屏幕上显示的数据、单击按钮以及模拟用户手势。
Shopeer.a在俄罗斯、巴西和印度的传播较为广泛。
在日常使用过程中,如果某个应用程序请求访问了AccessibilityService,但其功能上没有实际需要,则应该提高警惕。即使此类应用程序的唯一威胁时会自动撰写并发布评论,但我们也不能掉以轻心,因为不能保证攻击者以后不会再更改其Payload。
3.3 人人都喜欢Cookie - 包括网络犯罪分子
我们最近发现了一个新型恶意Android木马,名为Cookiethief,旨在获取受害者设备上的root权限,并将浏览器和Facebook应用程序使用的Cookie传输到网络犯罪分子的C2服务器上。利用被盗的Cookie,犯罪分子可以访问网站和在线服务,用来识别某人的唯一会话ID,从而使犯罪分子无需登录名和密码就可以伪装成某人的身份访问在线帐户。
在C2服务器上,我们发现了一个页面广告服务,用于在社交网络和Messenger上分发垃圾邮件,我们认为这是攻击者窃取Cookie的根本动机。
通过C2服务器地址和加密密钥,我们将这个Cookiethief与一些广泛传播的特洛伊木马进行了关联,例如Sivu、Triada和Ztorg。通常,此类恶意软件是在购买前植入设备固件中,或者通过操作系统的漏洞进入到文件夹,然后将各种应用程序下载到系统中。
3.4 Stalkerware - 无处可藏
我们近期发现了一个追踪器恶意软件的新样本,这是一些想要监视合伙人、同事或其他人的不法分子通常会使用的商业软件,其中所包含的功能超出了我们之前所见过的。
与其他追踪器软件不同,MonitorMinor在一些技术方面有了进一步的发展。传统的追踪恶意软件会使用地理围栏技术,使恶意运营者可以追踪受害者的位置,并且在大多数情况下可以截获短信和通话数据。而MonitorMinor则又进一步发展了几步,该恶意软件意识到使用Messenger作为数据收集手段的重要性,旨在从所有流行的现代通信工具中访问数据。
通常,Android沙箱会阻止应用之间的直接通信。但是,如果安装了超级用户的应用程序,该应用程序会被授予对系统root的访问权限,可以覆盖设备的安全性机制。MonitorMinor的开发人员使用该恶意软件可以完全访问包括Hangouts、Instagram、Skype和Snapchat在内的各种流行社交媒体和通讯应用程序上的数据。攻击者还使用root特权来获得屏幕解锁图形模式,从而使恶意运营者可以在下一次有机会物理接触设备时将设备解锁。我们此前从没有在任何其他移动威胁中看到这样的功能。
即使没有获得root用户访问权限,追踪器软件也可以通过滥用AccessibilityService API来实现有效的运行,该API旨在使设备对残障用户友好。使用这个API,恶意软件可以拦截应用程序中的任何事件,同时还可以进行实时音频获取和转播。
根据我们的遥测数据表明,MonitorMinor安装量最大的国家是印度、墨西哥、德国、沙特阿拉伯和英国。
对于用户,我们提出以下安全建议,以减少成为受害者的风险:
1、在智能手机的设置中,阻止未知来源应用程序的安装。
2、不要将密码泄露给任何人,即使是周围信任的人。
3、在结束一段人际关系之后,请更改移动设备上的安全设置,例如密码和应用程序位置访问设置。
4、检查设备上安装的应用程序,以查看是否在未经允许的情况下安装了任何可疑的应用程序。
5、使用可靠的安全解决方案来检测是否存在侵犯隐私的商业间谍软件程序。
6、如果认为自己被追踪,请向专业组织寻求建议。
7、有关进一步的指导,可以与Coalition against Stalkerware取得联系。
8、我们同样也有资源可以协助家庭暴力、约会暴力、骚扰和性暴力的受害者,如果需要进一步的帮助,可以与Coalition against Stalkerware取得联系。
原文及参考:https://www.4hou.com/posts/lDRJ