安恒信息:2022年十大新披露的APT组织
  • cici
  • 2023年01月29日 15:52
  • 0

近日,安恒信息中央研究院联合安恒信息神盾局正式发布《2022年度网络安全综合态势观察手册》。安恒信息猎影实验室根据公开情报整理了2022年新披露的APT组织。

南亚地区和中东地区仍然是较容易被研究人员捕获恶意样本并披露威胁组织的地区。其中围绕南亚地区进行攻击活动的组织有:活跃长达十年的ModifiedElephant(又名暗象、DarkElephant)组织、仿冒小众聊天软件针对Android平台的VajraEleph(又名金刚象)组织,和针对印度国防部下发Python后门的APT-LY-1004组织。瞄准中东地区进行攻击活动的组织有:来自黎巴嫩滥用OneDrive的POLONIUM组织、活动中使用远程代码执行漏洞的Cunning Kitten组织、针对土耳其海军的MurenShark(又名OceanDoge)组织。此外,还有攻击目标为非洲的Dangerous Savanna、Metador组织,以及其他未披露具体目标地域的威胁组织。

[MD:Title]

Modified Elephant

2022年2月,国外安全厂商披露了一个活跃长达的十年的组织ModifiedElephant。该组织主要针对印度活动家、人权捍卫者、记者、学者以及法律专业人士,进行长期监视,并在“必要情况”下向目标电脑中植入犯罪证据。

ModifiedElephant组织在早期的活动中使用双扩展名文件,2015年之后开始使用漏洞(CVE-2012-0158、CVE-2014-1761、CVE-2013-3906、CVE-2015-1641)利用文档针对目标投放恶意软件。 2019年该组织将邮件附件更改为外部链接,供目标下载执行。

ModifiedElephant组织所用的攻击武器包括:远控木马NetWire、DarkComet、意大利黑客论坛上公开的键盘记录器以及Android远控木马。该组织与南亚地区其他高级威胁组织的关系如下:1. 曾和Sidewinder的个体攻击目标重叠;2. 和Patchwork共享基础设施(Domain)。

2022年6月,国内安全厂商发现了ModifiedElephant组织对我国的攻击活动,并将其命名为“暗象”(又名DarkElephant Group)。相关攻击流程为:邮件正文中包含国外网盘链接,下载解压缩ZIP文件后得到自解压文件。该自解压文件中包含4个木马程序、加载器、配置文件以及功能性脚本。最后执行的木马程序为ParallaxRAT。

TA2541

2022年2月,国外安全厂商披露了一个多年来针对航空、航天、运输行业的APT组织TA2541,该组织在其社会工程诱饵中通常不使用当前热门话题,而是使用与航空、运输、旅行有关的主题,包括飞行、飞机、燃料、游艇等。

TA2541组织在活动中利用电子邮件附件发送压缩的可执行文件,其中包含托管恶意软件有效载荷的内容交付网络(CDN)URL。该组织自2021年底开始使用Google Drive或OneDrive托管恶意的VBS文件,最新的活动中开始使用Discord App URL链接到恶意软件AgentTesla或Imminent Monitor。

自2017年以来,TA2541组织在攻击活动中使用了十几种不同的恶意软件,包括地下论坛购买及开源资源库提供的恶意软件。该组织常用的RAT为AsyncRAT、NetWire、WSH RAT和Parallax等。这些恶意软件都使用相同的感染链。

[MD:Title]

VajraEleph

2022年3月,国内安全厂商披露了新组织金刚象(又名VajraEleph)针对巴基斯坦军方的间谍情报活动。具体受害目标包括:巴基斯坦国家的边防军(FC)、巴基斯坦特种部队(SSG)、俾路支省边防军(FC BLN)以及联邦调查局(FIA)。该组织针对地区还包括阿联酋、尼泊尔、沙特阿拉伯、斯里兰卡、马尔代夫等印度周边国家的政府机构、国防军事部门。

金刚象组织主要进行仿冒小众聊天软件针对Android平台的攻击活动,其分发恶意软件的途径包括:利用应用商店进行水坑攻击,或通过社交平台筛选攻击目标,以色情聊天为手段诱导目标安装恶意软件的社会工程学攻击。最终使用的远控工具为VajraSpy。

2022年7月,另一国内安全厂商发现了金刚象组织活动。活动通过WhatsApp传播Ahmyth定制化木马,针对巴基斯坦特殊人员保护部队(SPU)、巴基斯坦特种部队(SSG)、巴基斯坦陆军骑兵团、巴基斯坦空军、巴基斯坦海军以及巴基斯坦坦克制造商(HIT)以及印度和尼泊尔人员。

POLONIUM

2022年6月,国外安全厂商检测到黎巴嫩威胁组织POLONIUM滥用OneDrive的攻击活动。该组织自2022年2月开始活跃,重点关注制造业、IT和以色列国防工业。

POLONIUM组织通过利用Fortinet漏洞CVE-2018-13379获得目标网络的访问权限,同时擅长进行供应链攻击,即通过获取服务提供商网络访问权限攻击下游目标组织,该组织的目标行业包括制造业、信息技术、交通系统、国防工业基地、政府机构和服务。

POLONIUM组织在攻击活动中使用了商业工具PLINK以及自定义植入程序CreepyDrive和CreepySnail。此外, POLONIUM与隶属于伊朗情报和安全部(MOIS)的其他威胁行为者的关系如下:

● POLONIUM与MERCURY(又名MuddyWater)攻击目标一致

● POLONIUM与DEV-0133(又名Lyceum)都使用包括OneDrive在内的云服务进行数据泄露及命令和控制

● POLONIUM与DEV-0588(又名CopyKittens)都使用AIRVPN进行运营

2022年10月,另一国外安全厂商披露,POLONIUM已针对以色列目标,攻击了工程、信息技术、法律、通信、品牌和营销、媒体、保险和社会服务等各个垂直领域的十几个组织。工具集新增了4个C#后门TechnoCreep、FlipCreep、DeepCreep、MegaCreep以及1个C++模块化后门PapaCreep。

[MD:Title]

Cunning Kitten

2022年6月,安恒信息中央研究院猎影实验室追踪到一系列针对中东地区政治活动人士的攻击活动,并将背后的威胁攻击团伙命名为Cunning Kitten(又名APT-LY-1002)。该组织主要攻击方式为利用CVE-2021-30190、CVE-2021-40444远程代码执行漏洞制作钓鱼邮件,投放Powershell脚本以窃取目标信息。

TAC-040

2022年8月,国外安全厂商披露新威胁组织TAC-040针对医疗、教育、农业等行业的攻击活动。该组织疑似利用CVE-2022-26134 RCE漏洞以及CVE-2022-22965 RCE漏洞针对Confluence服务器或Web应用程序,通过执行远程代码以获得初始访问权限。

入侵后,攻击者运行多个命令来列举本地系统、网络和活动目录环境。随后在目标服务器上部署Ljl后门,该后门具有获取用户文件/用户帐户/系统信息/地理位置、加载任意.NET有效负载等多种功能。一旦在目标系统上实现持久性,TAC-040组织将从GitHub上下载公开可用的开源工具到本地,如NetRipper、PowerSploit、Invoke-Vnc等。另外,研究人员在被入侵系统上发现了XMRig加密矿工,表明该组织有可能同时进行着以经济利益为目的攻击。

MurenShark/OceanDoge

2022年8月,安恒信息中央研究院猎影实验室与国内友商同时捕获了针对土耳其海军的攻击活动,并将背后的威胁组织分别命名为OceanDoge(又名APT-LY-1003)、MurenShark(又名穆伦鲨、APT-N-04)。该组织在2021年曾利用加密货币相关诱饵针对土耳其地区,攻击组件包括NiceRender、UniversalDonut、LetMeOut、失陷站点neu.edu.tr、以及第三方攻击工具CobaltStrike。2022年针对土耳其海军与科研机构的攻击活动中新增了攻击组件NiceRender。与中东地区APT组织MuddyWater存在部分攻击目标重合。

Dangerous Savanna

2022年9月,国外安全厂商发现中非和西非超过85%的金融机构多次遭受多重破坏性网络攻击。为方便跟踪,研究人员将过去两年中一直针对非洲法语区的多个主要金融服务集团的恶意活动命名为Dangerous Savanna。

2022年下半年,该活动主要集中在科特迪瓦,主要目标为获取经济利益。攻击者使用鱼叉式网络钓鱼作为初始感染手段,向至少五个不同法语国家的中大型金融集团员工发送带有恶意附件的电子邮件,活动早期使用Gmail和Hotmail服务。感染成功后,Dangerous Savanna将在受感染的环境中安装自有工具,工具基于Metasploit、PoshC2、DWservice 和AsyncRAT等开源项目。此外,攻击者积极使用PDF文件引诱用户下载并手动执行VBE或JAR等文件以实现直接加载PoshC2植入程序或通过释放LNK文件以加载PoshC2。PoshC2植入程序可用来控制受感染机器。攻击者还使用相似域名,冒充非洲的其他金融机构,如突尼斯外国银行、Nedbank等提高可信度。

[MD:Title]

攻击者不断地追捕目标公司的员工,不断改变利用各种恶意文件类型的感染链,利用方式从自写的可执行加载程序和恶意文档,到各种组合的ISO、LNK、JAR和VBE 文件。研究人员预计此活动将继续调整其运营和方法,以最大限度地提高财务收益。

Metador

2022年9月,国外安全厂商披露了一个名为Metador的新的APT组织,该组织主要针对中东和非洲国家的电信、互联网服务提供商和大学,主要动机为间谍活动。Metador组织的攻击链旨在绕过本机安全解决方案,在内存中部署Windows恶意软件:metaMain和Mafalda,以及其他Linux恶意软件。

metaMain后门用于提供对受感染机器的长期访问,其功能还包括键盘记录、屏幕截图、文件上传/下载,以及任意Shellcode执行。后续Mafalda模块化框架即通过metaMain解密到内存并执行。Mafalda后门支持67条指令,功能广泛,包括数据/凭证/信息窃取、命令执行、注册表/文件操作以及Mafalda重配置等。

[MD:Title]

APT-LY-1004

2022年10月,安恒信息中央研究院猎影实验室发现一起新的针对印度国防部下设的CSD部门的窃密活动。由于攻击者在攻击目标、攻击目的、反病毒检测、持久化操作等方面符合APT活动特点,且与已知APT组织常用手段有较大差异,研究人员将其命名为APT-LY-1004进行持续跟踪。活动主要通过利用CVE-2017-0199漏洞下发后续包含宏代码的远程模板文件,宏代码执行后将在本地部署的Python后门,用于执行任意cmd指令,以及针对目标人群进行持久化的文件窃取攻击。

[MD:Title]

 

文章纠错

  • 好文点赞
  • 水文反对

此文章为快科技原创文章,快科技网站保留文章图片及文字内容版权,如需转载此文章请注明出处:快科技

观点发布 网站评论、账号管理说明
热门评论
查看全部评论
相关报道

最热文章排行查看排行详情

邮件订阅

评论0 | 点赞0| 分享0 | 收藏0