卡巴斯基：2018年度安详大变乱盘货

本年5月，Cisco Talos团队的研究职员宣布了他们针对VPNFilter的研究功效，这是一个用于传染差异品牌路由器的恶意软件，首要针对乌克兰的方针动员进攻，但同时也影响了54个国度的路由器。关于该恶意软件的说明，请参考这篇文章和这篇文章。最初，说明职员以为该恶意软件传染了约莫500000台路由器，包罗小型办公室或家庭办公室(SOHO)中的Linksys、MikroTik、Netgear和TP-Link收集装备，以及QNAP收集附加存储(NAS)装备。但现实上，受传染的路由器清单显然要长得多，总共有75种装备，包罗华硕、D-Link、华为、Ubiquiti、UPVEL和中兴。恶意软件可以或许使受传染的装备遏制事变、执行Shell呼吁、建设用于匿名会见装备的TOR设置或设置路由器的署理端口和署理URL以节制赏识会话。可是，该风险也会扩散到装备支持的收集中，从而扩大了进攻范畴。我们的环球研究和说明团队(GReAT)的研究职员具体说明白VPNFilter行使的C&C机制。个中一个风趣的题目是，谁是这个恶意软件的幕后黑手?Cisco Talos暗示，该恶意软件的背后是一个由国度或州支持的威胁举动者。美国联邦观测局在其关于行使Sink-holing 技能关停C&C处事器的陈诉中暗示，Sofacy(又名APT28、Pawn Storm、Sednit、STRONTIUM和Tsar Team)是该恶意软件的始作俑者。在此前针对乌克兰的进攻所行使的BlackEnergy恶意软件中，有一些代码与之沟通。

Sofacy是卡巴斯基尝试室多年来一向追踪的恶意组织，该收集特工组织保持高度活泼，而且频仍产出恶意软件。在2月，我们宣布了2017年Sofacy恶意勾当的概述，并显现了2017年该恶意组织逐渐从北约的方针转向中东、中亚以及其他地域的方针。Sofacy行使鱼叉式收集垂纶和水坑进攻来窃守信息，包罗帐户根据、敏感通讯和文档。该威胁举动者还操作0day裂痕来陈设其恶意软件。

Sofacy针对差异的方针陈设了差异的器材。2017年年头，该恶意组织的经销商针对军事和社交组织(首要位于北约国度和乌克兰)开展恶意勾当。在本年晚些时辰，该组织操作其兵器库中的Zebrocy和SPLM，针对更普及的组织(包罗科学与工程中心以及消息媒体)，面向中亚和远东地域动员进攻。与其他伟大的威胁参加者一样，Sofacy不绝开拓新的器材，保持高程度的操纵安详性，并专注于使其恶意软件难以检测。一旦在收集上发明白Sofacy这类高级恶意组织的任何勾当迹象，应应当即搜查体系上的登录和非常打点员会见权限，彻底扫描或行使沙箱运行收到的全部附件，并将电子邮件等处事配置为双身分身份验证和通过VPN会见。借助APT谍报陈诉、YARA等威胁搜刮器材以及KATA(卡巴斯基反方针进攻平台)等高级检测办理方案，可以有助于用户相识恶意组织的方针，并提供检测恶意勾当的强概略领。

我们的研究表白，Sofacy并不是独一在远东地域运营的恶意组织，这偶然会导致差异恶意组织之间的方针重叠。我们已经发明，Sofacy的Zebrocy恶意软件操作俄罗斯恶意组织Mosquito Turla的集群竞争会见受害者计较机的案例，其行使的SPLM后门软件与Turla和Danti竞相进攻，都以中亚地域当局、科技、军事相干的组织为进攻方针。最风趣的方针重叠，也许是Sofacy与Lamberts家属之间的重叠。在检测随处事器上存在Sofacy组织的恶意软件之后，研究职员发明该处事器此前已被Grey Lambert恶意软件进攻。这台被攻下的处事器属于一家计划和制造航空航天和防空技能的中国企业团体。可是，原始的SPLM投递载体如故未知，这就激发了许多假设的也许性，包罗Sofacy也许正在行使尚未被发明的新型裂痕操作方法、后门发生了新的变种，可能Sofacy以某种方法乐成操作了Gray Lambert的通讯渠道来下载其恶意软件。乃至，也许之前的Lambert传染是该恶意勾当中存心留下的卖弄线索。我们以为，最也许的谜底是，Sofacy操作未知的新PowerShell剧本或正当但存在裂痕的Web应用措施来加载并执行SPLM代码。

6月份，我们陈诉了一项针对中亚国度数据中心的一连恶意勾当。在这一勾当中，方针的选择尤为重要，这意味着进攻者可以或许一举得到大量的当局资源。我们以为，进攻者通过在响应国度的官方网站上插入恶意脚原来执行水坑进攻。我们按照恶意勾当中所行使的器材和计策，以及C&C处事器update.iaacstudio[.]com，揣度该恶意勾当由LuckyMouse组织举办(又名EmissaryPanda和APT27)。该恶意组织此前的方针是当局组织，也包罗中亚地域的组织。用于进攻数据中心的原始载体尚不清晰。我们此前调查到，LuckyMouse行使兵器化器材，借助CVE-2017-11882(Microsoft Office公式编辑器裂痕，自2017年12月以来被普及行使)举办进攻，但我们无法证明这一系列器材与此次进攻有关。进攻者也许会行使水坑进攻的方法来传染数据中心内部的计较机。

在9月，我们报道了LuckyMouse的另一路勾当。自3月份以来，我们发明白一些传染举动，个中一个早年未知的木马被注入到“lsass.exe”体系历程内存中。注入进程是由颠末署名的32位或64位收集过滤驱动措施NDISProxy实现，这一驱动措施由中国的LeagSoft公司签定，该公司是一家位于深圳的信息安详软件开拓商，我们通过CN-CERT陈诉了这一题目。该恶意勾当针对的是中亚当局组织，我们以为此次进攻与该地域的高层集会会议有关。在进攻中所行使的Earthworm地道，对付行使中文的恶意组织来说长短常典范的。另外，进攻者行使的呼吁之一(-s rssocks -d 103.75.190[.]28 -e 443)建设了到先前已知的LuckyMouse C&C处事器的地道。该恶意勾当所针对的方针，也与该恶意组织此前选择的方针同等。我们没有发明任何鱼叉式收集垂纶或水坑勾当的迹象，我们以为进攻者是通过已经被攻下的收集来举办恶意软件撒播。

Lazarus是一个成熟的恶意组织，从2009年以来就开始举办收集特工勾当和收集粉碎勾当。连年来，该组织开始针对环球金融组织开展恶意勾当。在8月，我们发明该组织已经乐成攻下了几家银行，并渗出了一些环球加密钱币买卖营业所和金融科技公司。在帮忙应急相应的同时，我们相识到受害者是通过带有木马的加密钱币买卖营业应用被传染的。一位安详意识较为单薄的员工从看似正当的网站下载了第三方应用措施，并传染了一个名为Fallchill的恶意软件，这是Lazarus近期开始行使的劳器材。好像Lazarus已经找到了一种有用的要领来建设一个看起来正当的网站，并将恶意Payload注入到看似正当的软件更新机制中。在这种环境下，恶意组织建设了一个卖弄的供给链，而并没有攻下一个真正的供给链。无论怎样，Lazarus团体在进攻供给链方面取得的乐成，表白了他们会继承操作这种进攻方法。进攻者针对非Windows平台做出了特另外全力，而且开拓了针对macOS体系的恶意软件，同时该网站提醒称Linux版本即将推出。这也许是我们第一次发明这个APT组织操作针对macOS的恶意软件。看起来，为了针对特定高级方针动员进攻，恶意组织被迫要开拓macOS恶意软件器材。Lazarus团体扩展其方针操纵辖档托表的究竟，应该为非Windows用户敲响警钟。读者可以在这里阅读我们关于AppleJeus的陈诉。

（编辑：湖南网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!